存在漏洞的组件
当应用程序中使用的库和框架等组件几乎总是以完全权限执行时,就会发生此类威胁。如果漏洞组件被利用,黑客就更容易造成严重的数据丢失或服务器接管。
让我们借助简单的图表了解此漏洞的威胁代理、攻击媒介、安全漏洞、技术影响和业务影响。
示例
以下示例使用具有已知漏洞的组件 −
攻击者可以通过不提供身份令牌来调用具有完全权限的任何 Web 服务。
通过基于 Java 的应用程序的 Spring 框架引入了具有表达式语言注入漏洞的远程代码执行。
预防机制
识别 Web 应用程序中使用的所有组件和版本,而不仅限于数据库/框架。
保持所有组件(如公共数据库、项目邮件列表等)为最新状态。
在本质上易受攻击的组件周围添加安全包装器。
