Su vari forum di sicurezza ho visto collegamenti a un post su un NPM malizioso fittizio pacchetto di informazioni sulla raccolta. Il titolo dei post:
I’m harvesting credit card numbers and passwords from your site. Here’s how.
La migliore citazione nel post a mio parere:
Lucky for me, we live in an age where people install npm packages like they’re popping pain killers.
Ciò ha portato a una discussione presso la nostra azienda, indipendentemente dal fatto che un pacchetto NPM malevolo si inserisca o meno in OWASP Top Ten 2017 oppure no. Penso che possa rientrare nelle seguenti categorie:
-
A6: 2017 Configurazione errata della sicurezza
La descrizione dice: "Non solo tutti i sistemi operativi, i framework, le librerie e le applicazioni devono essere configurati in modo sicuro ...". Se hai una libreria malevola che può fare qualcosa perché il tuoCSP
non è configurato correttamente, ad esempio, lo farei rientrare in questa categoria. -
A7: 2017-Cross-Site Scripting (XSS)
Se la libreria abilita una vulnerabilità XSS rientrerebbe in questa categoria. -
A9: 2017-Utilizzo dei componenti con vulnerabilità note
Se la libreria è nota per essere dannosa, rientrerebbe in questa categoria. -
A10: 2017 - Registrazione e monitoraggio insufficienti
Se l'attacco non viene rilevato significa che non stiamo registrando abbastanza. Esistono varie librerie per la registrazione di JavaScript lato client e le richieste in uscita potrebbero essere verificate qui. Ovviamente la libreria malevola potrebbe tentare di disabilitarlo ma potrebbe comunque rientrare in questa categoria.
È corretto o è un pacchetto NPM dannoso al di fuori dell'ambito di OWASP Top Ten 2017?