Такая угроза возникает, когда компоненты, такие как библиотеки и фреймворки, используемые в приложении, почти всегда выполняются с полными привилегиями. Если уязвимый компонент используется, это облегчает задачу хакера серьезной потери данных или захвата сервера.
Ниже приведены примеры использования компонентов с известными уязвимостями -
- Атакующие могут вызывать любой веб-сервис с полным разрешением, не предоставив токен идентификации.
- Удаленное выполнение кода с уязвимостью инъекции Expression Language вводится через приложения Spring Framework для Java.
Профилактические механизмы
- Определите все компоненты и версии, которые используются в веб-приложениях, которые не ограничиваются только базой данных / фреймворками.
- Храните все компоненты, такие как общедоступные базы данных, списки рассылки проектов и т. д.
- Добавьте защитные оболочки вокруг компонентов, которые уязвимы в природе.
0 комментариев