有漏洞的组件

当应用程序中使用的库和框架等组件几乎总是以完全权限执行时，就会发生这种威胁。如果一个易受攻击的组件被利用，它会使黑客的工作更容易造成严重的数据丢失或服务器接管。

让我们借助简单的图表了解此漏洞的威胁代理、攻击向量、安全弱点、技术影响和业务影响。

例子

以下示例使用具有已知漏洞的组件 –

• 攻击者可以通过不提供身份令牌来调用具有完全权限的任何 Web 服务。

• 带有表达式语言注入漏洞的远程代码执行是通过基于 Java 的应用程序的 Spring 框架引入的。

预防机制

• 识别 Web 应用程序中使用的所有组件和版本，而不仅限于数据库/框架。

• 保持所有组件如公共数据库、项目邮件列表等都是最新的。

• 在本质上易受攻击的组件周围添加安全包装器。