基本信息

简而言之，依赖混淆漏洞发生在项目使用具有拼写错误、不存在或未指定版本的库，并且所使用的依赖库允许从公共存储库中获取更新版本时。

• 拼写错误：导入**reqests**而不是requests

• 不存在：导入company-logging，一个不再存在的内部库

• 未指定版本：导入一个内部的存在的company-requests库，但存储库检查公共存储库以查看是否有更高版本。

利用

拼写错误和不存在

如果您的公司试图导入一个不是内部的库，很可能库的存储库会在公共存储库中搜索它。 如果攻击者已经创建了它，您的代码和运行的机器很可能会受到威胁。

未指定版本

开发人员很常见地不指定库的任何版本，或者只指定一个主要版本。 然后，解释器将尝试下载符合这些要求的最新版本。 如果库是一个已知的外部库（如python requests），攻击者无法做太多事情，因为他将无法创建一个名为requests的库（除非他是原始作者）。 但是，如果库是内部的，就像在这个例子中的requests-company，如果库存储库允许在外部也检查新版本，它将搜索公开可用的更新版本。 因此，如果攻击者知道公司正在使用requests-company库版本1.0.1（允许次要更新）。 他可以发布库requests-company版本1.0.2，公司将使用该库而不是内部库。

AWS修复

这个漏洞在AWS的CodeArtifact中被发现（阅读这篇博客文章中的详细信息）。 AWS通过允许指定库是内部还是外部来修复了这个问题，以避免从外部存储库下载内部依赖项。

查找易受攻击的库

在关于依赖混淆的原始帖子中，作者搜索了数千个包含JavaScript项目依赖项的package.json文件。

参考

• https://medium.com/@alex.birsan/dependency-confusion-4a5d60fec610

• https://zego.engineering/dependency-confusion-in-aws-codeartifact-86b9ff68963d