Jak hacknout komponenty třetích stran

Aplikace se skládají z frameworků, balíčků a komponent třetích stran. Jak jednoduché je ale aplikaci hacknout díky neaktualizovaným závislostem? Pojďte to zjistit a problém rovnou opravit.

Naše aplikace jsou s více než 90% složené z externího kódu = jsou závislé na balíčcích třetích stran. To znamená, že aplikace mohou obsahovat zastaralé, případně zranitelné balíčky a komponenty. Ty útočníkovi umožní spustit na serveru libovolný příkaz, jako v tomto případě:

To způsobí vypsání /etc/passwd do souboru.

V tomto případě za to může zastaralý balíček simple-git, který aplikace používá.

Pokud tento balíček upgradujeme na nějakou vyšší a bezpečnější verzi, tak už by se problém neměl vyskytovat.

Pravidelně aktualizujte aplikační závislosti a automatizujte proces skanování zranitelností v komponentách třetích stran.

Podívejte se na video, kde tuto funkcionalitu hackuju a rovnou v kódu opravuju:

Dej odběr a žádné další video už ti neunikne. 👇