具有漏洞的组件

当应用程序中使用的库和框架等组件几乎总是以完全权限执行时，就会发生这种威胁。如果利用易受攻击的组件，则会使黑客的工作更容易导致严重的数据丢失或服务器接管。

让我们来了解这个漏洞的威胁代理，攻击向量，安全弱点，技术影响和业务影响。

• 威胁代理 - 使用自动化工具识别和利用的框架。
• 攻击者的方法 - 攻击者通过扫描或手动分析识别组件。
• 安全弱点 - 识别所使用的组件是否在应用程序的深处变得更加复杂。
• 如何发现缺陷 - 当库文件位于应用程序的最顶层时更容易。越深层越变得困难。
• 技术影响 - 各种各样的弱点可能包括注入，破坏访问控制xss等。影响可能从最小到数据泄露大到完全的主机接管。
• 业务影响 - 它可能是微不足道的，也可能意味着完全妥协。

示例

以下示例使用具有已知漏洞的组件 -

• 由于未能提供身份令牌，攻击者可以通过完全权限调用任何Web服务。
• 通过基于Java Spring框架的应用程序引入了具有表达式语言注入漏洞的远程代码执行。

预防机制

• 识别Web应用程序中使用的所有组件和版本，而不仅限于数据库/框架。
• 保持所有组件，如公共数据库，项目邮件列表等，保持最新。
• 在本质上易受攻击的组件周围添加安全包装器。