Componenti con vulnerabilità

Questo tipo di minaccia si verifica quando i componenti come le librerie e i framework utilizzati all'interno dell'app vengono quasi sempre eseguiti con privilegi completi. Se un componente vulnerabile viene sfruttato, rende più facile il lavoro dell'hacker causare una grave perdita di dati o il controllo del server.

Cerchiamo di comprendere gli agenti di minaccia, i vettori di attacco, la debolezza della sicurezza, l'impatto tecnico e gli impatti sul business di questo difetto con l'aiuto di un semplice diagramma.

Esempio

I seguenti esempi riguardano l'utilizzo di componenti con vulnerabilità note:

  • Gli aggressori possono richiamare qualsiasi servizio Web con piena autorizzazione non fornendo un token di identità.

  • L'esecuzione di codice in modalità remota con la vulnerabilità di iniezione di Expression Language viene introdotta tramite Spring Framework per app basate su Java.

Meccanismi preventivi

  • Identifica tutti i componenti e le versioni che vengono utilizzate nelle webapp non solo limitate a database / framework.

  • Mantieni aggiornati tutti i componenti come database pubblici, mailing list del progetto ecc.

  • Aggiungi wrapper di sicurezza attorno ai componenti di natura vulnerabile.