Unetway

Тестирование безопасности - Компоненты с уязвимостями

Такая угроза возникает, когда компоненты, такие как библиотеки и фреймворки, используемые в приложении, почти всегда выполняются с полными привилегиями. Если уязвимый компонент используется, это облегчает задачу хакера серьезной потери данных или захвата сервера.

Ниже приведены примеры использования компонентов с известными уязвимостями -

  • Атакующие могут вызывать любой веб-сервис с полным разрешением, не предоставив токен идентификации.
  • Удаленное выполнение кода с уязвимостью инъекции Expression Language вводится через приложения Spring Framework для Java.

Профилактические механизмы

  • Определите все компоненты и версии, которые используются в веб-приложениях, которые не ограничиваются только базой данных / фреймворками.
  • Храните все компоненты, такие как общедоступные базы данных, списки рассылки проектов и т. д.
  • Добавьте защитные оболочки вокруг компонентов, которые уязвимы в природе.