iT邦幫忙

第 11 屆 iT 邦幫忙鐵人賽

DAY 12
1

A9 - Using Components with Known Vulnerabilities 使用已有漏洞的元件

近來,開源(Open Source)的風氣越來越盛行,每年也會舉辦開源者大會(COSCUP),分享自身在開源道路上的心得感想或是推廣,是一個值得大家去朝聖的地方www。不過這次我們要講的是人人都喜愛的開源軟體(Open Source Software),簡稱 OSS。

那究竟為什麼 OSS 會有不安全的地方呢? 其實...

現行開發模式有 Dev Ops 及 Agile,為達到快速產出,開發人員通常會引用 OSS,卻沒監控該 OSS 的弱點問題,包括函式庫、框架及其他的軟體模組等,而 OSS 卻會和應用程式以相同的權限執行。

當如果有一個容易受到攻擊的 OSS 被駭客利用,就可能導致資料洩漏或伺服器被利用,且使用有漏洞的應用程式或 API,都會破壞應用程式的防護,讓各種攻擊形式接踵而來。這也意味著,許多開發者在使用 OSS 模組或框架的習慣不好,除造成資料遺失外,也代表沒有即時升級或更新到最新版。

舉例

  • 使用有漏洞的 PHP 版本
  • 過時的內核版本 Linux
  • 未被修補的視窗系統
  • 有漏洞的 jQuery 版本

防護建議

  • 定期修補程序
  • 訂閱不同有分享最新漏洞的 CVE 號碼和緩解技術/修復程式的論壇。檢查該漏洞是否影響庫存中的設備/軟體並修復它們。

.
.
.

https://ithelp.ithome.com.tw/upload/images/20190928/20115060liElj0hYtP.jpg


上一篇
『 Day 11』Web Security - A8 . 反序列化漏洞
下一篇
『 Day 13』Web Security - A10 . 紀錄與監控不足風險
系列文
到處挖坑,現在該來還(填)願(坑)ㄌ !!!30

尚未有邦友留言

立即登入留言