itsGno.github.io

Using Comonents with Knonw Vulnerabilities

ในปัจจุบันการพัฒนาซอฟแวร์มักจะมีการใช้ framework เนื่องจากง่ายและเป็นกระบวนการที่ช่วยให้เหล่านักพัฒนาซอฟแวร์ทำงานร่วมกันได้และสิ่งที่ทำให้ง่ายในการพัฒนานั้นก็คือสิ่งที่มาด้วยกับ framework คือ library หรือ module ที่มีนักพัฒนาซอฟแวร์สร้างไว้และอนุญาตให้คนทั่วไปนำไปใช้ภายในงานของผู้พัฒนาซอฟแวร์ได้ และ แน่นอนเมื่อมีการเขียน module บางครั้ง module นั้น ๆ ที่นำมาใช้งานก็มีช่องโหว่ตามมาด้วย

และเมื่อ module นั้นถูกค้นพบช่องโหว่และ ประกาศ CVE ก็จะถือว่า Web application นั้นมีช่องโหว่ที่ถูก OWASP จัดเป็น A9-Using components with Known Vulnerabilities

วิธีการตรวจสอบ Web application นั้นว่ามีการใช้งาน module ที่มีช่องโหว่แบบง่าย ๆ โดยการใช้ Chrome Extension Vulners Web Scanner

Screenshot 2021-04-04 130352

Screenshot 2021-04-04 130256

วิธีป้องกัน

ทำการ update module/library และ version ของ software ที่ใช้งานอยู่เป็นประจำ

อ้างอิง

https://owasp.org/www-project-top-ten/2017/A9_2017-Using_Components_with_Known_Vulnerabilities