Dependency Confusion
Last updated
Last updated
学习与实践 AWS 黑客技术:HackTricks 培训 AWS 红队专家 (ARTE) 学习与实践 GCP 黑客技术:HackTricks 培训 GCP 红队专家 (GRTE)
总之,依赖混淆漏洞发生在项目使用了一个拼写错误、不存在或未指定版本的库,而所使用的依赖库仓库允许从公共仓库获取更新版本。
拼写错误:导入 reqests 而不是 requests
不存在:导入 company-logging,一个不再存在的内部库
未指定版本:导入一个内部的存在的 company-requests 库,但仓库检查公共仓库以查看是否有更高版本。
在所有情况下,攻击者只需发布一个恶意包,名称与受害公司使用的库相同。
如果您的公司试图导入一个不是内部的库,那么库的仓库很可能会在公共仓库中搜索它。如果攻击者创建了它,您的代码和运行的机器很可能会被攻陷。
开发者不指定任何版本的库,或仅指定一个主要版本是非常常见的。然后,解释器将尝试下载符合这些要求的最新版本。
如果库是一个已知的外部库(如 Python 的 requests),攻击者无法做太多,因为他无法创建一个名为 requests 的库(除非他是原作者)。
然而,如果库是内部的,如本例中的 requests-company,如果库仓库允许也从外部检查新版本,它将搜索一个公开可用的更新版本。
因此,如果攻击者知道公司正在使用 requests-company 库的版本 1.0.1(允许小版本更新)。他可以发布库 requests-company 的版本 1.0.2,而公司将使用该库而不是内部库。
此漏洞在 AWS CodeArtifact 中被发现(请阅读此博客文章中的详细信息)。 AWS 通过允许指定库是内部还是外部来修复此问题,以避免从外部仓库下载内部依赖。
在关于依赖混淆的原始文章中,作者搜索了数千个暴露的 package.json 文件,包含 JavaScript 项目的依赖。
学习与实践 AWS 黑客技术:HackTricks 培训 AWS 红队专家 (ARTE) 学习与实践 GCP 黑客技术:HackTricks 培训 GCP 红队专家 (GRTE)
