有漏洞的组件


当应用程序中使用的库和框架等组件几乎总是以完全权限执行时,就会发生这种威胁。如果易受攻击的组件被利用,黑客就更容易造成严重的数据丢失或服务器接管。

让我们借助简单的图表了解该缺陷的威胁代理、攻击向量、安全弱点、技术影响和业务影响。

使用带有已知漏洞的组件

例子

以下示例是使用具有已知漏洞的组件 -

  • 攻击者可以通过不提供身份令牌来调用具有完全权限的任何 Web 服务。

  • 通过基于 Java 的应用程序的 Spring 框架引入了带有表达式语言注入漏洞的远程代码执行。

预防机制

  • 识别网络应用程序中使用的所有组件和版本,而不仅仅是数据库/框架。

  • 使所有组件(例如公共数据库、项目邮件列表等)保持最新。

  • 在本质上易受攻击的组件周围添加安全包装器。