包含漏洞的元件

當應用程式中使用的元件（例如庫和框架）幾乎總是以完全許可權執行時，就會發生這種情況的威脅。如果一個易受攻擊的元件被利用，這會讓駭客更容易造成嚴重的資料丟失或伺服器接管。

讓我們藉助簡圖瞭解威脅代理、攻擊媒介、安全弱點、技術影響和這種缺陷的業務影響。

示例

以下是使用已知漏洞元件的一些示例 −

• 攻擊者可以透過不提供身份令牌來以完全許可權呼叫任何 Web 服務。

• 基於 Java 的應用程式透過 Spring Framework 引入了遠端程式碼執行和表示式語言注入漏洞。

預防機制

• 識別 Web 應用中正在使用的所有元件和版本，不僅限於資料庫/框架。

• 使所有元件（例如公共資料庫、專案郵件列表等）保持最新。

• 在本質上易受攻擊的元件周圍新增安全包裝。