الارتباك في تبعيات الرزم البرمجية Package Dependency Confusion

من SalamaTech Wiki سلامتك ويكي
اذهب إلى التنقل اذهب إلى البحث

مقدمة

الارتباك في تبعيات الرزم البرمجية Package Dependency Confusion هجوم يعتمد على أن معظم التطبيقات والبرامج التي تنتجها الشركات يعتمد في غلب أجزائه على رزم برمجية Packages يعاد استخدامها ضمن الشركة على مر السنوات حيث يتم وضعها ضمن الشركة على خادمات لإدارة الرزم مثل خادم PyPi أوNpm خاص بالشركة. عادة ما يقوم المبرمجون ضمن الشركة باستيراد الرزمة البرمجية من هذه الخوادم مستخدمين اسم الرزمة والأداة المناسبة للتواصل مع الخادم مثل pip في حالة التواصل مع خادم PyPi. يقوم المهاجمون هنا بإنشاء رزم برمجية تحمل اسم الرزمة البرمجية المستخدمة ضمن الشركة ويقومون برفع هذه الرزمة الخبيثة إلى خادم PyPi العام (وليس الخاص بالشركة) آملين أن يقوم المبرمج باستيراد الرزمة من الخادم العام بدل خادم الشركة الداخلي. وعلى اثر ذلك تصبح سطور البرمجة الخبيثة في هذه الرزمة جزءا من البرنامج الذي يعمل المبرمج على تطويره وبالتالي وعندما يحاول المبرمجون تجربة البرنامج على حواسبهم ضمن شبكة الشركة ستعمل هذه السطور الخبيثة.

تنقّل في الكتيب eBook Navigation

Attack Vectors

Attack Vectors, Vulnerabilities and Payloads

الهجمات الالكترونية الخبيثة Malicious Cyber Attacks

الفهرس Index

الفهرس الكامل Full Index

اقرأ أيضا See Also

أمن المعلومات للمجموعات Information Security for Groups

مراجع References

Dependency Confusion: How I Hacked Into Apple, Microsoft and Dozens of Other Companies