El uso de componentes con Vulnearbilidades conocidas está reconocido como la 9ª vulnerabilidad Web más importante según OWASP. Aquí aprenderemos qué es, como funciona y como explotarlo.
Última actualización
Este artículo está copiado de Seguridad Ofensiva, en su artículo: OWASP Top 9 – Uso de componentes con vulnerabilidades conocidas.
Uso de componentes con vulnerabilidades conocidas se clasifica como la vulnerabilidad número nueve en la lista de OWASP-Top 10. Las vulnerabilidades conocidas son vulnerabilidades que se descubren y son catalogadas a través de publicaciones en https://nvd.nist.gov/. Generalmente, estos componentes con vulnerabilidades conocidas son de código abierto. Un ejemplo claro de este tipo de vulnerabilidad fue la que afecto a la empresa Equifax siendo causada por una versión de Apache Struts que tenía una vulnerabilidad conocida desde marzo de 2017. Esta vulnerabilidad está muy relacionada con la deserialización insegura.
Es importante recalcar que al menos el 80% de todo el software incluye componentes de código abierto. Como resultado, los componentes de terceros son un objetivo tentador para los posibles piratas informáticos.
Solución y prevención
https://seguridad-ofensiva.com/evaluaciones-de-vulnerabilidades
https://seguridad-ofensiva.com/pruebas-de-penetracion-externas
https://seguridad-ofensiva.com/pruebas-de-penetracion-en-sitios-web
https://cdn2.hubspot.net/hub/203759/file-1100864196-pdf/docs/Contrast_-_Insecure_Libraries_2014.pdf
https://owasp.org/www-project-dependency-check/
https://owasp.org/www-community/Virtual_Patching_Best_Practices
