Estoy tratando de pensar cómo probaré una aplicación para OWASP "Uso de componentes con vulnerabilidades conocidas" .
Si mi entendimiento es correcto, esto se relaciona mucho con las bibliotecas / módulos desactualizados, pero si uno está pentestando una aplicación (externamente), ¿cómo podrían identificar este tipo de información?
Aunque a veces es posible identificar este problema mientras se realiza una revisión externa de una aplicación web de caja negra, por ejemplo, identificando bibliotecas de JavaScript obsoletas utilizando retire.js , o identificando software de servidor web desactualizado a partir de números de versión de banner, en general, la mejor manera de verificar esto es realizar una revisión acreditada de los sistemas involucrados en la aplicación para confirmar las versiones de software en uso y verifique si hay problemas conocidos.
Con un escaneo de caja negra, o bien estás confiando en la identificación de la versión en uso a través de cadenas en el archivo (o alguna otra heurística) o explotando las vulnerabilidades en cuestión.
Con una revisión de Whitebox puede ser más fácil hacerlo, ya que con el software que está empaquetado, puede verificar más fácilmente las versiones instaladas.
Debe verificar todas las versiones de tecnologías utilizadas en el desarrollo de la aplicación web en cuestión, ya sea de front-front / client side o server side. Esto se puede lograr mediante el rastreo / rastreo de la aplicación web. Una vez que tenga los detalles de todas las tecnologías web y sus versiones en uso, puede verificar los ID de CVE publicados para la versión de la tecnología web en cuestión. Todos los componentes web obsoletos y vulnerables se comunicarán con el desarrollador y les pedirán que utilicen las bibliotecas más recientes.
La famosa violación de datos de Equifax en 2013 que afectó a 130 millones de consumidores fue el resultado de utilizar una versión vulnerable de Apache Struts Framework, obsoleta. Sin embargo, un parche estaba en su lugar cuando los atacantes lo explotaron. Esto ilustra aún más la importancia de usar las bibliotecas actualizadas / más recientes de un marco / biblioteca / tecnología web.
P.S.Este es el enfoque que utilizo para identificar el uso de componentes con vulnerabilidades conocidas (A9 2013 & 2017).
Además de usar los escáneres de vulnerabilidad de caja negra como ya se mencionó correctamente, también puede usar el código abierto owasp dependency checker . Básicamente, el checker hace software composition analysis y detecta vulnerabilidades divulgadas públicamente en las dependencias de la aplicación.
Funciona de manera similar a los escáneres, sin embargo, debe proporcionar un medio para identificar correctamente los paquetes / dependencias. Podría ser la flexibilidad desplegada en una tubería de CI o varias otras posibilidades. Consulte la documentación para obtener más detalles.
Lea otras preguntas en las etiquetas penetration-test known-vulnerabilities owasp library owasp-top-ten