包含漏洞的组件

当应用程序中使用的组件（例如库和框架）几乎总是以完全权限执行时，就会发生这种情况的威胁。如果一个易受攻击的组件被利用，这会让黑客更容易造成严重的数据丢失或服务器接管。

让我们借助简图了解威胁代理、攻击媒介、安全弱点、技术影响和这种缺陷的业务影响。

示例

以下是使用已知漏洞组件的一些示例 −

• 攻击者可以通过不提供身份令牌来以完全权限调用任何 Web 服务。

• 基于 Java 的应用程序通过 Spring Framework 引入了远程代码执行和表达式语言注入漏洞。

预防机制

• 识别 Web 应用中正在使用的所有组件和版本，不仅限于数据库/框架。

• 使所有组件（例如公共数据库、项目邮件列表等）保持最新。

• 在本质上易受攻击的组件周围添加安全包装。