难以探索的Esapi漏洞提供最佳练习课程
开放beplay体育能用吗Web应用程序安全项目(OWASP)解决了其漏洞企业安全API(ESAPI),如果尚未解决,可能会滥用运行路径遍历攻击。
该问题涉及ESAPI验证器接口,并且可以通过应用修补后的2.3.0.0版本来解决10个中的安全性严重性等级为7.5。
Owasp Esapi提供了一个实用程序,可以通过提供标记潜在编码错误的接口来帮助企业软件开发人员编写更安全的代码。
尽管很难利用脆弱的组件,但仍建议进行更新,因为OWASP的咨询说明,潜在影响很高,因为它的潜在影响很高:
默认实现的validator.getValidDirectoryPath(字符串,字符串,文件,布尔值)可能会错误地将测试的输入字符串视为指定父目录的孩子。如果攻击可以指定代表“输入”路径的整个字符串,则可能会允许控制控制流旁路检查。
有限的影响
Owasp Esapi项目联合领导人Kevin Wall告诉每日swbeplay2018官网ig“使用ESAPI的大多数应用程序甚至可能不使用受影响的方法”,因此该漏洞的潜在影响是专门应用的。
“有了所有库漏洞,很难衡量一个通用应用程序如何利用库中的漏洞。”
沃尔补充说:“即使那样validator.getValidDirectoryPath()在应用程序中使用,这并不意味着它在您的应用程序本身中可利用。您确实必须逐案进行分析。”
根据Wall的说法,在大多数用例中,脆弱的ESAPI将与Web应用程序防火墙(WAF)或入侵检测软件一起使用 - 因素进一步限制了伤害范围。beplay体育能用吗
关于严重性的问题,软件开发人员得出结论:“我认为这确实是一个'高'脆弱性,但这就是我们所拥有的,因为这就是CVSSV3.1吐出的。”
要学习的教训
而脆弱性根据Wall的说法,在玩游戏中不太可能被利用,甚至不太可能造成太大伤害,该错误为软件开发人员提供了课程。
一方面,使用库的应用程序开发人员应使用软件组成分析(SCA)工具并知道其限制。
沃尔解释说:“某些SCA工具只能在直接依赖性中找到报告的漏洞,但不会在传递依赖性中报告。”
“And if you decide not to patch, then you need to do a deep-dive analysis to see exactly how the vulnerability in some library impacts your application and what types of mitigating controls you can put up (e.g., maybe ‘virtual patching’ via a WAF) to reduce the risk.”
不要忘记阅读可以利用NPM开发人员声誉来合法化恶意软件
该缺陷也可能对图书馆开发人员有所启发,因为它说明了静态的实用性应用程序安全测试(SAST)工具。
“For library developers, run SAST tools of some sort and review the results, but also try to have adequate test coverage and at least do manual code reviews of the ‘git diffs’ when PRs are submitted but before they are merged,” Wall advised.
沃尔说,尽管在开发ESAPI时犯了编码错误导致了缺陷,但这些错误是可以理解的错误。
He concluded: “I think the place where ESAPI dropped the ball is that there was no specific test that would have brought this to our attention and that’s on us, although I think in our defense, it was mostly the unawareness of everyone who previously touched that code thatfile.getCanonicalPath()当目录的值未终止时,行为会有所不同。我认为这有点不直觉。”
