A9 – Utilisation de composants avec des vulnérabilités connues Présenté par Mikael Andries-Gounant
Introduction Une équipe de développement peut utiliser un Framework pour se faciliter la tâche. Par contre, plus un Framework est populaire, plus il est la cible d’attaque.
Présentation du problème en 5 étapes Une faille est découverte. Une mise à jour se fait développer. La mise à jour sort. Les pirates regardent les détails de la mise à jour Les pirates attaquent.
Environnements affectés Tout les environnements peuvent être affectés, puisque la faille dépend des composants que le développeur a utilisé.
Exemple Sql Injection Découvert par Stefan Horst 5,1% des sites webs affecté –> environ 12 millions
Comment faire pour éviter cette faille Faire une liste de toutes les librairies ou composants utilisés. Consulter les sites web des éléments de la liste. Faire les mises à jours lorsqu’elle sortent. Supprimer tout composants non utilisé.
Sonatype Component Lifecycle Management (CLM) Un outil pour garder à jour ses composants. Identifie les composants, les versions utilisées ainsi que tout les dépendances (plugins etc..) Vérifie la sécurité de ces composants dans des bases de données publiques, vérifie les chaines de courriels des composants.
Conclusion Bien qu’il est plaisant d’utiliser des composants, librairies, etc… il ne faut pas se dire qu’ils sont parfait. Ils peuvent contenir des failles, ce n’est pas parce qu’elles n’ont pas été découverte ou déclarées publiquement qu’elle n’en possèdent pas.
Médiagraphie episode-9-utilisation-de-composants-vulnerables/ episode-9-utilisation-de-composants-vulnerables/ jYvMDYvODAvT1dBU1BfV2hpdGVwYXBlcl9GaW5hbC5wZGYiXV0/OWASP jYvMDYvODAvT1dBU1BfV2hpdGVwYXBlcl9GaW5hbC5wZGYiXV0/OWASP Using_Components_with_Known_Vulnerabilities Using_Components_with_Known_Vulnerabilities