Sto provando a pensare a come testare un'applicazione per OWASP "Uso di componenti con vulnerabilità note" .
Se la mia comprensione è corretta, si tratta di molto con librerie / moduli non aggiornati, ma se si sta testando un'applicazione (esternamente) come potrebbero identificare questo tipo di informazioni?
Sebbene a volte sia possibile identificare questo problema mentre si esegue una revisione di applicazioni Web black-box esterne, ad esempio identificando librerie JavaScript obsolete usando retire.js , o l'identificazione di software di server Web obsoleto dai numeri di versione del banner, in generale il modo migliore per verificare questo è di effettuare una revisione credenziale dei sistemi coinvolti nell'applicazione per confermare le versioni del software in uso e controlla eventuali problemi noti.
Con una scansione blackbox ti stai affidando all'identificazione della versione in uso tramite stringhe nel file (o qualche altra euristica) o sfruttando le vulnerabilità in questione.
Con una recensione su whitebox, può essere più facile da fare, come con il software che è impacchettato, puoi controllare più facilmente le versioni installate.
È necessario verificare tutte le versioni di tecnologie utilizzate nello sviluppo dell'applicazione web in questione, sia essa lato front-end / lato client o lato server. Questo può essere ottenuto spidering / crawling dell'applicazione web. Una volta che si hanno i dettagli di tutte le tecnologie web e le loro versioni in uso, è possibile verificare gli ID CVE pubblicati per la versione della tecnologia Web in questione. Tutte le componenti web obsolete e vulnerabili devono essere ulteriormente comunicate allo sviluppatore, chiedendo loro di utilizzare le ultime librerie.
La famosa violazione dei dati di Equifax nel 2013, che ha interessato 130 milioni di consumatori, era il risultato dell'utilizzo di una versione vulnerabile di Apache Struts Framework obsoleta. Tuttavia, al momento dell'attacco degli hacker era disponibile una patch. Ciò illustra ulteriormente il significato dell'utilizzo di librerie aggiornate / recenti di una tecnologia framework / library / web.
P.S.Questo è l'approccio che utilizzo per identificare l'utilizzo di componenti con vulnerabilità note (A9 2013 e 2017).
Oltre a utilizzare gli scanner di vulnerabilità black box come già menzionato correttamente, puoi anche utilizzare l'open source owasp dependency checker . Fondamentalmente, checker fa software composition analysis e rileva vulnerabilità divulgate pubblicamente nelle dipendenze delle applicazioni.
Funziona in modo simile agli scanner, tuttavia è necessario fornire un mezzo per identificare correttamente pacchetti / dipendenze. Potrebbe essere implementata la flessibilità in una pipeline CI o in molte altre possibilità. Consulta la documentazione per ulteriori dettagli.
Leggi altre domande sui tag library penetration-test known-vulnerabilities owasp owasp-top-ten