03 Бер, 2023

Небезпечні сторонні компоненти

Vulnerability Assessment as a Service (VAaaS)

Tests systems and applications for vulnerabilities to address weaknesses.

ITPC розшифровується як "Небезпечні сторонні компоненти".. Це відноситься до використання програмних компонентів сторонніх виробників (таких як бібліотеки, фреймворки або плагіни), які мають відомі уразливості або слабкі місця в системі безпеки, які можуть бути використані зловмисниками для порушення безпеки всієї системи або програми, яке їх використовує. Небезпечні компоненти сторонніх виробників є поширеною причиною порушень безпеки в програмних системах, і розробникам і фахівцям з безпеки важливо регулярно оновлювати і виправляти їх, щоб забезпечити безпеку своїх додатків.

Приклад уразливого коду на різних мовах програмування:


в Python:

				
					import requests
import json

url = 'https://api.example.com/users/1'
response = requests.get(url)
data = json.loads(response.text)

print("Username: " + data['username'])

				
			

 

У цьому прикладі requests бібліотека використовується для виконання HTTP-запиту до зовнішнього API. Однак, якщо requests бібліотека застаріла і має відомі уразливості в системі безпеки, зловмисник може використовувати ці уразливості для виконання атаки "людина посередині" або виконання довільного коду в системі.

• В Java:

				
					import org.apache.commons.collections4.CollectionUtils;
import java.util.ArrayList;

ArrayList<String> list1 = new ArrayList<>();
ArrayList<String> list2 = new ArrayList<>();
list1.add("foo");
list2.add("bar");

CollectionUtils.union(list1, list2);

				
			


У цьому прикладі org.apache.commons.collections4 бібліотека використовується для виконання операції об'єднання двох списків. Однак, якщо commons collections бібліотека застаріла і має відомі уразливості в системі безпеки, зловмисник може використовувати ці уразливості для виконання довільного коду або атаки типу "відмова в обслуговуванні".

• в JavaScript:

				
					const express = require('express');
const bodyParser = require('body-parser');
const app = express();

app.use(bodyParser.urlencoded({ extended: false }));
app.use(bodyParser.json());

app.get('/users/:id', (req, res) => {
  const id = req.params.id;
  // TODO: retrieve user data from database and send response
});

app.listen(3000, () => {
  console.log('Server started on port 3000');
});

				
			


У цьому прикладі body-parser бібліотека використовується для аналізу вхідних HTTP-запитів. Однак, якщо body-parser бібліотека застаріла і має відомі уразливості в системі безпеки, зловмисник може використовувати ці уразливості для виконання атаки з віддаленим виконанням коду або впровадження шкідливого коду на додаток.

Приклади використання Небезпечних компонентів сторонніх виробників

Віддалене виконання коду (RCE):

Зловмисник може скористатися уразливістю в небезпечному сторонньому компоненті для віддаленого виконання довільного коду в системі. Наприклад, якщо веб-додаток використовує застарілу і вразливу версію Apache Struts Framework, зловмисник може скористатися уразливістю для виконання шкідливого коду на сервері, на якому розміщено веб-додаток, що може призвести до крадіжки даних, компрометації системи або повному захопленню системи.

Ін'єкційні атаки:

Небезпечні сторонні компоненти також можуть бути використані зловмисниками для впровадження шкідливого коду або команд в додаток. Наприклад, якщо веб-додаток використовує застарілу і вразливу версію бібліотеки jQuery, JavaScript, зловмисник може скористатися уразливістю для впровадження шкідливого коду в код програми, що може призвести до крадіжки даних, компрометації системи або повному захопленню системи.

Атаки типу "Відмова в обслуговуванні" (DoS):

Зловмисник може скористатися уразливістю в небезпечному сторонньому компоненті для запуску атаки типу "відмова в обслуговуванні" (DoS), яка може призвести до того, що система стане недоступною або перестане відповідати. Наприклад, якщо веб-додаток використовує застарілу і вразливу версію HTTP-сервера Apache, зловмисник може використовувати уразливість для запуску DoS-атаки, яка може призвести до перевантаження сервера і нездатності відповідати на законні запити.

Методи підвищення привілеїв для небезпечних компонентів сторонніх виробників

Використання відомих Вразливостей:

Зловмисники можуть використовувати відомі уразливості в небезпечних компонентів сторонніх виробників, щоб отримати більш високі привілеї або доступ до конфіденційної інформації. Наприклад, зловмисник може використовувати відому уразливість в застарілою і небезпечною бібліотеці або платформі для обходу контролю доступу або виконання довільного коду з підвищеними привілеями.

Перехоплення DLL:

Перехоплення бібліотеки динамічних посилань (DLL) - це метод, при якому зловмисник замінює законної бібліотеку DLL шкідливою, якою він управляє. Якщо додаток завантажує шкідливу бібліотеку DLL замість законною, зловмисник може виконати код з підвищеними привілеями. Цей метод може бути використаний для експлуатації небезпечних сторонніх компонентів, які динамічно завантажуються додатком.

Зловживання Неправильно налаштованими Дозволами:

Якщо небезпечний сторонній компонент встановлений з неправильними або небезпечними дозволами, зловмисник може зловживати цими дозволами, щоб отримати більш високі рівні доступу. Наприклад, зловмисник може змінити файли конфігурації небезпечного веб-сервера, щоб надати собі більш високі привілеї або доступ до конфіденційних файлів.

Чорний хід Доступу:

Якщо небезпечний сторонній компонент розроблений з використанням бекдор, зловмисник може використовувати цей бекдор для отримання доступу до системи з підвищеними привілеями. Наприклад, зловмисник може використовувати чорний хід в небезпечній бібліотеці аутентифікації, щоб обійти елементи управління аутентифікацією і отримати доступ до конфіденційних ресурсів.

Загальна методологія та контрольний список для небезпечних компонентів сторонніх виробників

Методологія:

  1. Визначте всі сторонні компоненти, що використовуються в системі, включаючи бібліотеки, фреймворки та плагіни.

  2. Визначте версію кожного стороннього компонента, що використовується в системі.

  3. Перевірте кожну версію сторонніх компонентів на наявність відомих вразливостей, використовуючи загальнодоступні бази даних і ресурси вразливостей, такі як Національна база даних вразливостей (NVD), база даних загальних вразливостей і схильності (CVE) і Open Web Application Security Project (OWASP). Список десяти кращих вразливостей.

  4. Переконайтеся, що виправлення для відомих вразливостей були застосовані до системи, перевіривши версію стороннього компонента, який встановлений в даний момент.

  5. Перегляньте конфігурацію кожного стороннього компонента, щоб переконатися, що він налаштований надійно, з урахуванням рекомендацій щодо забезпечення безпеки, таких як сувора аутентифікація, безпечні протоколи зв'язку і засоби контролю доступу.

  6. Проведіть тестування на проникнення для виявлення вразливостей, які можуть бути невідомі громадськості, і для імітації атак для перевірки ефективності існуючих заходів безпеки.

  7. Постійно слідкуйте за сторонніми компонентами на предмет нових вразливостей і оновлень і стежте за тим, щоб оновлення застосовувалися своєчасно.

Контрольний список:

  1. Визначте всі сторонні компоненти, що використовуються в системі, включаючи бібліотеки, фреймворки та плагіни.

  2. Визначте версію кожного стороннього компонента, що використовується в системі.

  3. Перевірте кожну версію сторонніх компонентів на наявність відомих вразливостей, використовуючи загальнодоступні бази даних і ресурси вразливостей, такі як Національна база даних вразливостей (NVD), база даних загальних вразливостей і схильності (CVE) і Open Web Application Security Project (OWASP). Список десяти кращих вразливостей.

  4. Переконайтеся, що виправлення для відомих вразливостей були застосовані до системи, перевіривши версію стороннього компонента, який встановлений в даний момент.

  5. Перегляньте конфігурацію кожного стороннього компонента, щоб переконатися, що він налаштований надійно, з урахуванням рекомендацій щодо забезпечення безпеки, таких як сувора аутентифікація, безпечні протоколи зв'язку і засоби контролю доступу.

  6. Проведіть тестування на проникнення для виявлення вразливостей, які можуть бути невідомі громадськості, і для імітації атак для перевірки ефективності існуючих заходів безпеки.

  7. Постійно слідкуйте за сторонніми компонентами на предмет нових вразливостей і оновлень і стежте за тим, щоб оновлення застосовувалися своєчасно.

  8. Використовуйте такі інструменти, як сканери вразливостей або засоби перевірки залежностей, для автоматизації процесу виявлення і перевірки вразливостей в компонентах сторонніх виробників.

  9. Використовуйте безпечний підхід життєвого циклу розробки, який включає тестування на наявність небезпечних компонентів сторонніх виробників на етапах розробки, тестування та розгортання програмного забезпечення.

Набір інструментів для експлуатації Небезпечні сторонні компоненти

Ручні Інструменти:

  1. Burp Suite: Інструмент тестування безпеки веб-додатків, який дозволяє вручну перевіряти сторонні компоненти на наявність вразливостей, таких як небезпечні версії бібліотек або фреймворків.

  2. Metasploit: Інструмент тестування на проникнення, який дозволяє вручну використовувати сторонні компоненти, вразливі для відомих експлойтів.

  3. ExploitDB: Керована співтовариством база даних вразливостей, яка надає колекцію експлойтів для відомих вразливостей в компонентах сторонніх виробників.

  4. OWASP Zap: Сканер безпеки веб-додатків з відкритим вихідним кодом, який можна використовувати для ручного тестування сторонніх компонентів на наявність відомих вразливостей.

  5. Nmap: Інструмент дослідження мережі, який можна використовувати для ідентифікації сторонніх компонентів, що працюють у мережі, включаючи бібліотеки, фреймворки та плагіни.

Автоматизовані інструменти:

  1. Nessus: Сканер вразливостей, який може автоматично виявляти і тестувати відомі уразливості в компонентах сторонніх виробників, включаючи бібліотеки і фреймворки.

  2. OpenVAS: Сканер мережевих вразливостей, який можна використовувати для виявлення вразливостей в інших компонентах і оцінки їх впливу на систему.

  3. Retire.js: Сканер з відкритим вихідним кодом, який можна використовувати для виявлення застарілих і вразливих бібліотек JavaScript, що використовуються у веб-додатках.

  4. Dependency-Check: Інструмент, який може бути використаний для виявлення відомих вразливостей в сторонніх компоненти, що використовуються в додатках Java.

  5. Black Duck: Інструмент аналізу складу програмного забезпечення, який може бути використаний для виявлення компонентів з відкритим вихідним кодом, що використовуються у програмному забезпеченні, та перевірки на наявність відомих вразливостей.

  6. WhiteSource: Інструмент аналізу складу програмного забезпечення, який може використовуватися для виявлення і моніторингу компонентів з відкритим вихідним кодом, що використовуються у програмному забезпеченні, на предмет відомих вразливостей.

  7. Snyk: Інструмент, який можна використовувати для виявлення вразливостей в компонентах з відкритим вихідним кодом, що використовуються у програмному забезпеченні, а також для надання виправлень і рекомендацій щодо виправлення.

  8. DependencyTrack: Платформа для відстеження та аналізу сторонніх компонентів, що використовуються в програмному забезпеченні, включаючи виявлення відомих вразливостей і відстеження зусиль по виправленню.

  9. Qualys VMDR: Хмарний інструмент управління уразливими, який може використовуватися для автоматичного виявлення і тестування вразливостей в компонентах сторонніх виробників.

  10. Sonatype Nexus: Менеджер сховище для керування компонентами з відкритим вихідним кодом, що використовуються у програмному забезпеченні, та забезпечення їх безпеки, включаючи автоматичне визначення і усунення відомих вразливостей.

Плагіни для браузера:

  1. Retire.js Chrome Extension: Розширення для браузера Chrome, яке можна використовувати для сканування веб-сторінок на наявність застарілих і вразливих бібліотек JavaScript.

  2. Wappalyzer: Розширення для браузера, яке може використовуватися для ідентифікації сторонніх компонентів, що використовуються в веб-додатках, включаючи бібліотеки і фреймворки.

  3. Web Developer Toolbar: Розширення для браузера, яке включає інструменти для ідентифікації та аналізу сторонніх компонентів, що використовуються в веб-додатках.

  4. HackBar: Розширення для браузера для виконання ручного тестування та експлуатації веб-додатків, включаючи виявлення і тестування вразливостей в компонентах сторонніх виробників.

Середній бал CVSS стек Небезпечних сторонніх компонентів

Середній показник загальної системи оцінки вразливостей (CVSS) стека з небезпечними компонентами сторонніх виробників може сильно варіюватися в залежності від конкретних використовуваних компонентів і їх версій. Деякі небезпечні компоненти сторонніх виробників можуть мати більш низький бал CVSS із-за серйозності вразливості або простоти експлуатації, в той час як інші можуть мати більш високий бал CVSS з-за потенційного впливу на систему або містяться в ній дані.

Наприклад, стек, який використовує застарілу версію платформи Apache Struts з відомою вразливістю віддаленого виконання коду (CVE-2017-5638), може мати оцінку CVSS 10, що є максимально можливим показником. З іншого боку, стек, використовує стару версію бібліотеки jQuery з відомою вразливістю міжсайтового скриптинга (CVE-2015-9251), може мати оцінку CVSS 4,3, що є помірним показником.

Важливо відзначити, що оцінка CVSS - це всього лише один фактор, який слід враховувати при оцінці серйозності уразливості. Слід також брати до уваги інші фактори, такі як потенційний вплив на систему або містяться в ній дані. Крім того, оцінка CVSS може не у всіх випадках точно відображати серйозність уразливості, і завжди важливо виконати ретельну оцінку ризику, щоб визначити потенційний вплив уразливості на конкретну систему.

Загальна перерахування слабких місць (CWE)

• CWE-119: Неправильне обмеження операцій в межах буфера пам'яті: Ця вразливість може виникнути, коли сторонній компонент використовується без належної перевірки кордонів, що призводить до вразливостей переповнення буфера або недостатнього потоку.

• CWE-200: Розкриття інформації: ця вразливість може виникнути, коли сторонній компонент надає конфіденційну інформацію, таку як облікові дані або дані конфігурації, які можуть бути використані зловмисниками для компрометації системи.

• CWE-269: Неправильне управління привілеями: Ця вразливість може виникнути, коли сторонньому компоненту надаються надмірні привілеї або коли поділ привілеїв не реалізовано належним чином, що дозволяє зловмисникам отримувати підвищені привілеї в системі.

• CWE-327: Використання несправного або ризикованого криптографічного алгоритму: Ця вразливість може виникнути, коли сторонній компонент використовує слабкий або застарілий криптографічний алгоритм, що призводить до витоку даних або компрометації.

• CWE-352: Підробка міжсайтових запитів (CSRF): Ця вразливість може виникнути, коли сторонній компонент вразливий для CSRF атак, дозволяючи зловмисникам виконувати несанкціоновані дії від імені користувача.

• CWE-434: Необмежена завантаження файлу з небезпечним типом: Ця вразливість може виникнути, коли сторонній компонент дозволяє необмежену завантаження файлів з небезпечними типами файлів, дозволяючи зловмисникам виконувати довільний код у системі.

• CWE-522: Недостатньо захищені облікові дані: ця вразливість може виникнути, коли сторонній компонент зберігає конфіденційні облікові дані, такі як паролі або ключі API, небезпечним чином, що дозволяє зловмисникам отримати доступ до конфіденційних даних.

• CWE-611: Неправильне обмеження посилання на зовнішню сутність XML: Ця вразливість може виникнути, коли сторонній компонент вразливий для впровадження зовнішньої сутності XML (XXE), що дозволяє зловмисникам зчитувати конфіденційні дані або виконувати довільний код у системі.

• CWE-732: Неправильне призначення дозволів для критичного ресурсу: Ця вразливість може виникнути, коли сторонньому компоненту надаються надмірні або недостатні дозволу, що дозволяє зловмисникам отримувати доступ до критичних ресурсів у системі або змінювати їх.

• CWE-749: Розкритий небезпечний метод або функція: Ця вразливість може виникнути, коли сторонній компонент розкриває небезпечний або чутливий метод або функцію, дозволяючи зловмисникам виконувати довільний код або виконувати несанкціоновані дії в системі.

Топ-10 CVE, пов'язаних з небезпечними сторонніми компонентами

• CVE-2022-45935 – Використання тимчасових файлів з незахищеними дозволами сервером Apache James дозволяє зловмисникові з локальним доступом отримати доступ до приватних даних користувача при передачі. Вразливі компоненти включають в себе стек SMTP і команду ДОДАВАННЯ IMAP. Ця проблема зачіпає Apache James Server версії 3.7.2 та попередні версії.

• CVE-2022-38170 – В Apache Airflow до версії 2.3.4 для багатьох компонентів Airflow була налаштована небезпечна umask при запуску з прапором `–daemon`, що могло привести до стану гонки, в результаті чого файли, доступні для запису в усьому світі, були поміщені в домашній каталог Airflow і дозволили локальним користувачам надавати довільне вміст файлу через веб-сервер.

• CVE-2022-30320 – Saia Burgess Controls (SBC) PCD до 2022-05-06 використовує зламаний або ризикований криптографічний алгоритм. Згідно FSCT-2022-0063, існує проблема зі слабкою схемою хешування облікових даних S-Bus PCD Saia Burgess Controls (SBC) PCD. Порушені компоненти характеризуються як: аутентифікація по S-Bus (5050/UDP). Потенційний вплив полягає в обході аутентифікації. Контролери Saia Burgess Controls (SBC) PCD використовують протокол S-Bus (5050/UDP) для різних інженерних цілей. Можна налаштувати пароль, щоб обмежити доступ до конфіденційних інженерних функцій. Аутентифікація здійснюється за допомогою повідомлення S-Bus 'записати байт' на певну адресу та надання хэшированной версії пароля. Використовуваний алгоритм хешування заснований на CRC-16 і як такий не є криптографічно безпечним. Використовується небезпечний алгоритм хешування.

• CVE-2022-30316 – Honeywell Experion PKS Safety Manager 5.02 має недостатню перевірку достовірності даних. Згідно FSCT-2022-0054, існує проблема з оновленням прошивки Honeywell Experion PKS Safety Manager, не пройшов перевірку автентичності. Порушені компоненти характеризуються як: Функціональність оновлення прошивки. Потенційний вплив полягає в маніпуляціях з прошивкою. Honeywell Experion PKS Safety Manager використовує послідовний інтерфейс FTA зв'язку DCOM-232/485 і завантажувач Enea POLO для керування вбудованим програмним забезпеченням. Інженерна робоча станція, на якій встановлено програмне забезпечення Safety Builder, здійснює зв'язок по послідовному каналу або через Ethernet з інтерфейсом DCOM-232/485. Було виявлено, що образи прошивки не мають аутентифікації (у формі підпису прошивки) і покладаються лише на небезпечні контрольні суми для регулярних перевірок цілісності.

• CVE-2022-23802 – На розширення Joomla Guru 5.2.5 впливають: Небезпечні дозволу. Вплив полягає в отриманні конфіденційної інформації (віддалено). Компонент - це: Доступ до приватної інформації і компонентів, можливість переглядати інформацію інших користувачів. Розкриття інформації Доступ до приватної інформації і компонентів, можливість перегляду інформації інших користувачів.

• CVE-2022-23000 – The Western Digital My Cloud Web App [https://os5.mycloud.com/] uses a weak SSLContext when attempting to configure port forwarding rules. This was enabled to maintain compatibility with old or outdated home routers. By using an “SSL” context instead of “TLS” or specifying stronger validation, deprecated or insecure protocols are permitted. As a result, a local user with no privileges can exploit this vulnerability and jeopardize the integrity, confidentiality and authenticity of information transmitted. The scope of impact cannot extend to other components and no user input is required to exploit this vulnerability.

• CVE-2021-29504 – WP-CLI - це інтерфейс командного рядка для WordPress. Неправильна обробка помилок в управлінні запитами HTTPS в WP-CLI версії 0.12.0 і більш пізніх версій дозволяє віддаленим зловмисникам перехоплювати обмін даними, щоб віддалено вимкнути перевірку сертифіката на стороні WP-CLI, отримуючи повний контроль над вмістом обміну даними, включаючи можливість видавати себе за сервери оновлень і відправляти шкідливі оновлення в примірники WordPress, контрольовані вразливим агентом WP-CLI, або відправляти шкідливі оновлення сам WP-CLI.

• CVE-2020-5980 – Драйвер дисплея графічного процесора NVIDIA для Windows, всі версії, містить уразливість в декількох компонентах, в яких надійно завантажена системна DLL буде завантажувати свої залежно небезпечним чином, що може привести до виконання коду або відмови в обслуговуванні.

• CVE-2020-11067 – В TYPO3 CMS з 9.0.0 за 9.5.16 і з 10.0.0 за 10.4.1 було виявлено, що параметри внутрішнього користувача (в $BE_USER-> uc) уразливі для небезпечною десеріалізації. У поєднанні з уразливими сторонніх компонентів це може призвести до віддаленого виконання коду. Для використання цієї проблеми необхідна дійсна обліковий запис внутрішнього користувача. Це було виправлено в 9.5.17 і 10.4.2.

• CVE-2019-3801 – Cloud Foundry cf-deployment, версії до 7.9.0, містять компоненти Java, які використовують небезпечний протокол для отримання залежностей при збірці. Віддалений зловмисник, який не пройшов перевірку автентичності, може перехопити DNS запис для залежності і впровадити шкідливий код в компонент.

Небезпечні сторонні компоненти подвиги

Apache підтримує віддалене виконання коду (CVE-2017-5638): Ця уразливість в платформі Apache Struts framework дозволяє віддаленим зловмисникам виконувати довільний код на сервері, відправляючи спеціально створений HTTP-запит.

Міжсайтовий скрипт jQuery (CVE-2015-9251): Ця уразливість в бібліотеці jQuery дозволяє зловмисникам впроваджувати та виконувати шкідливі сценарії на стороні клієнта веб-додатки.

OpenSSL Heartbleed (CVE-2014-0160): Ця уразливість в криптографічної бібліотеки OpenSSL дозволяє віддаленим зловмисникам отримувати конфіденційну інформацію з пам'яті сервера.

Віддалене виконання коду Drupalgeddon 2 (CVE-2018-7600): Ця уразливість в системі управління контентом Drupal дозволяє зловмисникам виконувати довільний код на сервері, використовуючи вразливість віддаленого виконання коду в платформі Symfony PHP framework.

Віддалене виконання коду Apache Tomcat (CVE-2017-12615): Ця уразливість в сервері Apache Tomcat дозволяє віддаленим зловмисникам виконувати довільний код на сервері, завантажуючи шкідливий файл JSP.

Довільне видалення файлів WordPress (CVE-2018-9860): Ця уразливість в системі управління контентом WordPress дозволяє пройшов перевірку автентичності зловмисникам видаляти будь-файл на сервері, використовуючи недолік в функціональності видалення файлів.

Проксі-сервер Microsoft Exchange Server (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065): Цей набір недоліків у сервері Microsoft Exchange дозволяє зловмисникам виконувати довільний код на сервері і отримувати доступ до конфіденційної інформації.

Обхід аутентифікації Django (CVE-2019-12308): Ця уразливість в веб-платформі Django дозволяє зловмисникам обійти аутентифікацію і отримати доступ до конфіденційної інформації, використовуючи уразливість в проміжному програмному забезпеченні аутентифікації.

Віддалене виконання коду Ruby on Rails (CVE-2013-0156): Ця уразливість в веб-платформі Ruby on Rails дозволяє віддаленим зловмисникам виконувати довільний код на сервері, використовуючи недолік в функціональності синтаксичного аналізу параметрів.

SQL-ін'єкція Magento (CVE-2016-4010): Ця уразливість в платформі електронної комерції Magento дозволяє зловмисникам виконувати довільні команди SQL і отримувати доступ до конфіденційної інформації, використовуючи уразливість в платіжному модулі.

Практикуючись в тестуванні на Небезпечні сторонні компоненти

Налаштування уразливого додатка: Ви можете налаштувати веб-додаток, який, як відомо, має небезпечні сторонні компоненти, і попрактикуватися у виявленні і використанні вразливостей.

Використовуйте навмисно вразливі додатка: Існують спеціально вразливі програми, доступні для практики, такі як Чертовски вразливе веб-додаток (DVWA) і WebGoat. Ці програми навмисно включили уразливості, які можуть бути використані на практиці.

Використовуйте онлайн-виклики і CTFS: Онлайн-виклики і події захоплення прапора (CTF) часто включають в себе проблеми, пов'язані з виявленням і використанням вразливостей в компонентах сторонніх виробників. Участь в цих заходах може стати хорошим способом попрактикуватися у своїх навичках.

Використовуйте інструменти сканування вразливостей: Існують різні інструменти сканування вразливостей, такі як Nessus, OpenVAS і Qualys. Ви можете використовувати ці інструменти для сканування ваших власних додатків або веб-сайтів на предмет виявлення вразливостей, пов'язаних з небезпечними сторонніми компонентами.

Читайте огляди і звіти про уразливості: Ви можете прочитати описи і звіти про уразливості, пов'язаних з небезпечними компонентами сторонніх виробників, щоб краще зрозуміти, як працюють уразливості і як їх можна використовувати. Ви також можете спробувати повторити кроки, описані в цих звітах, в своїх власних тестових додатках.

Для вивчення Небезпечних сторонніх компонентів

OWASP Топ-10: OWASP Top 10 - це список найбільш критичних ризиків безпеки веб-додатків, в який входять небезпечні компоненти сторонніх виробників. Веб-сайт OWASP надає докладну інформацію про кожній уразливості і про те, як їх запобігти.

База даних CVE: База даних Common Vulnerabilities and Exposures (CVE) - це загальнодоступне сховище вразливостей і вразливостей в системі безпеки. Ви можете виконати пошук у базі даних на предмет вразливостей, пов'язаних з конкретними сторонніми компонентами або програмним забезпеченням.

Національна база даних за вразливостей NIST: Національний інститут стандартів і технологій (NIST) веде базу даних відомих вразливостей, яка включає інформацію про компоненти сторонніх виробників.

Експлуатувати базу даних: База даних експлойтів - це сховище експлойтів і вразливого програмного забезпечення. Ви можете виконати пошук у базі даних на предмет експлойтів, пов'язаних з конкретними сторонніми компонентами.

Керівництво хакера веб-додатків: Керівництво хакера веб-додатків - це всеосяжне керівництво по тестуванню безпеки веб-додатків, яке включає главу про тестування на наявність небезпечних компонентів сторонніх виробників.

Онлайн-курси: Доступні різні онлайн-курси, присвячені безпеки веб-додатків і тестування на наявність небезпечних компонентів сторонніх виробників. Деякі популярні курси включають Udemy "Тестування безпеки веб-додатків: від початківців до просунутих" і Coursera "Безпека веб-додатків".

Конференції та семінари: Відвідування конференцій і семінарів, присвячених безпеки веб-додатків, може стати відмінним способом дізнатися більше про небезпечні компоненти сторонніх виробників і поспілкуватися з іншими фахівцями в цій області. Деякі популярні конференції включають Black Hat, DEF CON і OWASP AppSec.

Книги з оглядом Небезпечних компонентів сторонніх виробників

"Керівництво хакера веб-додатків: пошук і використання недоліків безпеки" автор: Дафидд Штуттард і Маркус Пінто – Ця книга являє собою всеосяжне керівництво по тестуванню безпеки веб-додатків і включає главу про тестування на наявність небезпечних компонентів сторонніх виробників.

"Тестування безпеки з допомогою Kali NetHunter" Глен Д. Сінгх і Рафік Ур Рехман – У цій книзі розглядаються різні методи тестування безпеки, включаючи тестування на наявність вразливостей в компонентах сторонніх виробників.

"Професійне тестування на проникнення: створення і функціонування офіційної хакерської лабораторії" автор: Томас Вільгельм – Ця книга охоплює основи тестування на проникнення і включає розділ, присвячений тестуванню на уразливості сторонніх компонентів.

"Освоєння сучасного веб-тестування на проникнення" автор: Прахар Прасад – Ця книга охоплює сучасні методи тестування на проникнення в Інтернет і включає розділ про тестування на уразливості сторонніх компонентів.

"Black Hat Python: програмування на Python для хакерів і пентестеров" автор: Джастін Зейтц – У цій книзі розглядаються методи програмування на Python для тестування на проникнення вірусів, включаючи виявлення та використання вразливостей в компонентах сторонніх виробників.

"Зламані веб-додатки: Секрети і рішення безпеки веб-додатків" автор: Джоел Скамбрей, Вінсент Ллю і Калеб Сіма – Ця книга являє собою всеосяжне керівництво по тестуванню безпеки веб-додатків і включає розділ, присвячений тестуванню на наявність вразливостей в компонентах сторонніх виробників.

"Безпека веб-додатків, керівництво для початківців" Брайан Салліван і Вінсент Лью – Ця книга являє собою введення в безпеку веб-додатків і включає розділ, присвячений виявлення і усунення вразливостей в компонентах сторонніх виробників.

"Пошук помилок в реальному світі: практичне керівництво по веб-хакінгу" Пітер Яворські – Ця книга охоплює реальні сценарії злому і включає розділ про тестування на наявність вразливостей в компонентах сторонніх виробників.

"Тестування безпеки веб-додатків: від початківців до просунутих" автор Tee Chuan Seng – Ця книга являє собою всеосяжне керівництво по тестуванню безпеки веб-додатків і включає розділ, присвячений виявленню та використанню вразливостей в компонентах сторонніх виробників.

"Мистецтво експлуатації: керівництво з виявлення вразливостей і експлуатації" автор: Джон Еріксон – У цій книзі розглядаються методи виявлення вразливостей і їх використання, включаючи виявлення та використання вразливостей в компонентах сторонніх виробників.

Список корисних навантажень Небезпечних компонентів сторонніх виробників

  1. Корисні навантаження SQL-ін'єкцій: Вони можуть бути використані для перевірки вразливостей SQL-ін'єкцій у сторонніх компонентів, які взаємодіють із базами даних.

  2. Корисне навантаження міжсайтових сценаріїв (XSS): Вони можуть бути використані для перевірки на наявність вразливостей XSS в інших компонентах, оброблювальних користувальницький введення.

  3. Корисне навантаження при включенні файлу: Їх можна використовувати для перевірки вразливостей при включенні файлів в сторонні компоненти, які обробляють завантаження файлів належать файли з зовнішніх джерел.

  4. Корисне навантаження при обході каталогів: Їх можна використовувати для перевірки вразливостей обходу каталогів в інших компонентах, які обробляють шляхи до файлів.

  5. Корисні навантаження віддаленого виконання коду (RCE): Вони можуть бути використані для перевірки на наявність вразливостей RCE в інших компонентах, які виконують код з зовнішніх джерел.

  6. Корисні навантаження для впровадження XML: Вони можуть бути використані для перевірки вразливостей при впровадженні XML сторонні компоненти, які обробляють XML-дані.

  7. Корисні навантаження для впровадження HTTP-заголовка: Вони можуть бути використані для перевірки вразливостей при впровадженні HTTP-заголовка в сторонні компоненти, які взаємодіють з HTTP-заголовків.

  8. Корисні навантаження для введення команд: Вони можуть бути використані для перевірки вразливостей при впровадженні команд у сторонніх компонентів, які виконують команди із зовнішніх джерел.

  9. Відкриті корисні навантаження перенаправлення: Вони можуть бути використані для перевірки вразливостей відкритого перенаправлення в інших компонентах, які обробляють користувальницький введення для перенаправлення користувачів на зовнішні джерела.

  10. Корисні навантаження для підробки запитів на стороні сервера (SSRF): Вони можуть бути використані для перевірки на наявність вразливостей SSRF в інших компонентах, які обробляють зовнішні запити.

Як бути захищеним від небезпечних сторонніх компонентів

  1. Оновлюйте своє програмне забезпечення: Переконайтеся, що ви використовуєте останню версію свого програмного забезпечення, що були застосовані всі виправлення безпеки.

  2. Використовуйте надійні джерела: Завантажуйте сторонні компоненти лише з надійних джерел і перевіряйте їх справжність.

  3. Використовуйте політику безпеки контенту (CSP): CSP може запобігти виконання шкідливих сценаріїв у вашому веб-додатку, в тому числі сторонніх компонентів.

  4. Регулярно перевіряйте наявність вразливостей: Регулярно перевіряйте своє програмне забезпечення на наявність вразливостей, в тому числі компоненти сторонніх виробників.

  5. Відстежувати підозрілу активність: Слідкуйте за своєю системою на предмет будь-яких підозрілих дій, які можуть вказувати на компрометацію ваших сторонніх компонентів.

  6. Використовуйте брандмауер веб-додатків (WAF): WAF може допомогти захистити від атак, націлених на уразливість в компонентах сторонніх виробників.

  7. Conduct regular security assessments: Проводьте регулярні оцінки безпеки вашого веб-додатку для виявлення і усунення вразливостей в компонентах сторонніх виробників.

  8. Навчайте своїх розробників: Навчіть своїх розробників методам безпечного кодування, в тому числі використання сторонніх компонентів та управління ними.

  9. Використовуйте інструмент аналізу складу програмного забезпечення (SCA): Інструмент SCA може допомогти ідентифікувати сторонні компоненти у вашому програмному забезпеченні і керувати ними, а також попереджати вас про будь-яких відомих вразливості.

  10. Вбудуйте процес управління вразливостями: Вбудуйте процес управління вразливостями у ваших сторонніх компонентах, включаючи виправлення й оновлення по мірі необхідності.

Заходи з усунення неполадок в небезпечних компонентів сторонніх виробників

  1. Використовуйте інструменти аналізу складу програмного забезпечення (SCA): Інструменти SCA можуть допомогти ідентифікувати сторонні компоненти, використовувані у вашому програмному забезпеченні, та попередити вас про будь-яких відомих вразливості.

  2. Підтримуйте ваші сторонні компоненти в актуальному стані: Переконайтеся, що ви використовуєте останню версію компонентів сторонніх виробників і що були застосовані всі виправлення безпеки.

  3. Використовуйте політику безпеки контенту (CSP): CSP може запобігти виконання шкідливих сценаріїв у вашому веб-додатку, в тому числі сторонніх компонентів.

  4. Реалізувати перевірку вхідних даних: Вбудуйте перевірку вхідних даних у веб-додаток, щоб запобігти такі атаки, як впровадження SQL і міжсайтовий скриптінг (XSS), які можуть використовувати уразливість в компонентах сторонніх виробників.

  5. Реалізувати кодування виведення: Вбудуйте кодування виведення свого веб-додаток, щоб запобігти атаки, такі як XSS, які можуть використовувати уразливості в сторонніх компонентах.

  6. Впровадження контролю доступу: Вбудуйте засоби контролю доступу для обмеження доступу до конфіденційних даних і функціональним можливостям вашого веб-додатки та запобігання несанкціонованого доступу до компонентів сторонніх виробників.

  7. Використовуйте безпечні протоколи зв'язку: Використовуйте захищені протоколи зв'язку, такі як HTTPS, щоб гарантувати, що обмін даними між вашим веб-додатком і сторонніми компонентами зашифрований і безпечний.

  8. Запровадити моніторинг і ведення журналу: Вбудуйте моніторинг і ведення журналу свого веб-додаток для виявлення будь-яких підозрілих дій або потенційної компрометації сторонніх компонентів і реагування на них.

  9. Conduct regular security assessments: Проводьте регулярні оцінки безпеки вашого веб-додатку для виявлення і усунення вразливостей в компонентах сторонніх виробників.

  10. Навчайте своїх розробників: Навчіть своїх розробників методам безпечного кодування, в тому числі методів використання сторонніх компонентів і управління ними, щоб знизити ризик появи вразливостей в вашому веб-додатку.

Висновок

Небезпечні сторонні компоненти може представляти значний ризик для безпеки вашого програмного забезпечення та веб-додатків. Ці компоненти можуть створювати уразливості, які можуть бути використані зловмисниками для отримання несанкціонованого доступу до конфіденційних даних, виконання шкідливого коду або порушення нормального функціонування вашого програмного забезпечення. Щоб попередити та знизити ризики, пов'язані з небезпечними компонентами сторонніх виробників, важливо використовувати надійні джерела, підтримувати ваше програмне забезпечення та компоненти в актуальному стані, впроваджувати перевірку вхідних даних і кодування вихідних даних, використовувати безпечні протоколи зв'язку і проводити регулярні оцінки безпеки. Крім того, використання інструментів аналізу складу програмного забезпечення, політик безпеки контенту і засобів контролю доступу може допомогти знизити ризик вразливостей, створюються сторонніми компонентами. Застосовуючи попереджувальний підхід до забезпечення безпеки і впроваджуючи кращі практики управління сторонніми компонентами, ви можете допомогти захистити своє програмне забезпечення та веб-додатки від потенційних загроз безпеки.

Інші Послуги

Готові до безпеки?

зв'язатися з нами