当应用程序中使用的库和框架等组件几乎总是以完全权限执行时,就会发生这种威胁.如果一个易受攻击的组件被利用,它会使黑客的工作更容易导致严重的数据丢失或服务器接管.
让我们了解威胁代理,攻击媒介,安全弱点,技术影响和业务借助简单的图表来解决这个漏洞的影响.
示例
以下示例使用具有已知漏洞的组件;
攻击者可以通过未能提供身份令牌来获得具有完全权限的任何Web服务.
通过Spring Framework引入具有表达式语言注入漏洞的远程代码执行对于基于Java的应用程序.
预防机制
确定所有组件和正在使用的版本在webapps中使用的不仅限于数据库/框架.
保持公共数据库,项目邮件列表等所有组件的最新状态.
为易受攻击的组件添加安全包装.