A9-2017. USO DE COMPONENTES CON VULNERABILIDADES CONOCIDAS

El uso de componentes con Vulnearbilidades conocidas está reconocido como la 9ª vulnerabilidad Web más importante según OWASP. Aquí aprenderemos qué es, como funciona y como explotarlo.

Este artículo está copiado de Seguridad Ofensiva, en su artículo: OWASP Top 9 – Uso de componentes con vulnerabilidades conocidas.

USO DE COMPONENTES CON VULNERABILIDADS CONOCIDAS

OWASP Top 9

Uso de componentes con vulnerabilidades conocidas se clasifica como la vulnerabilidad número nueve en la lista de OWASP-Top 10. Las vulnerabilidades conocidas son vulnerabilidades que se descubren y son catalogadas a través de publicaciones en https://nvd.nist.gov/. Generalmente, estos componentes con vulnerabilidades conocidas son de código abierto. Un ejemplo claro de este tipo de vulnerabilidad fue la que afecto a la empresa Equifax siendo causada por una versión de Apache Struts que tenía una vulnerabilidad conocida desde marzo de 2017. Esta vulnerabilidad está muy relacionada con la deserialización insegura.

Es importante recalcar que al menos el 80% de todo el software incluye componentes de código abierto. Como resultado, los componentes de terceros son un objetivo tentador para los posibles piratas informáticos.

Solución y prevención

https://seguridad-ofensiva.com/evaluaciones-de-vulnerabilidades

https://seguridad-ofensiva.com/pruebas-de-penetracion-externas

https://seguridad-ofensiva.com/pruebas-de-penetracion-en-sitios-web

Recursos adicionales con relación a este tipo de ataque:

https://owasp.org/www-project-top-ten/OWASP_Top_Ten_2017/Top_10-2017_A9-Using_Components_with_Known_Vulnerabilities

https://cdn2.hubspot.net/hub/203759/file-1100864196-pdf/docs/Contrast_-_Insecure_Libraries_2014.pdf

https://owasp.org/www-project-dependency-check/

https://owasp.org/www-community/Virtual_Patching_Best_Practices