¿Es Maven un vector plausible de ataque?

Navega tus respuestas
12

Usted tiene un sistema informático para desarrollar y ejecutar su proyecto Top Secret ™ y no le permite el acceso directo a Internet.

Sin embargo, desea utilizar Maven, por todas las ventajas que confiere, y así le permite a Maven acceder a su repositorio de intranet, que luego tiene acceso al repositorio de Internet.

La pregunta es: si alguien supiera sobre tu proyecto de Top Secret y supiera que estabas usando Maven, ¿podrían explotarlo para intentar penetrar en tu sistema y recuperar información?

    
pregunta dwjohnston 09.07.2015 - 23:22
fuente

2 respuestas

8

Ciertamente fue en el pasado. Consulte enlace

Maven Central admite HTTPS, a partir de julio de 2014 .

Maven Central requiere firmas PGP para artefactos. Hay un complemento para verificar las firmas: enlace

Ahora, badguy puede escribir un programa malicioso y firmarlo con PGP, y se verificará, por lo que querrá verificar que la firma PGP pertenezca a una organización / desarrollador en la que confíe.

    
respondido por el Neil McGuigan 10.07.2015 - 02:16
fuente
2

  1. Junto con la respuesta aceptada, su repositorio de Maven en la intranet puede ser envenenado por alguien dentro de su organización con acceso a su repositorio Maven de intranet. Recomendaría aplicar el control de acceso strict a su repositorio Maven de la intranet. En mi experiencia, muchos repositorios de Maven tienen un solo usuario administrador al que muchos desarrolladores conocen la contraseña.

  2. " Una inyección de compilación (XBI) ataque también es posible envenenando el complemento compilador-maven que utiliza la mayoría de los proyectos de Maven.

  3. Dilettante es un proxy para explotar el hecho de que las versiones más antiguas de Maven todavía se conectan a través de HTTP y no HTTPS.

respondido por el rjdkolb 01.12.2015 - 09:02
fuente

Lea otras preguntas en las etiquetas

¿Alguno de ustedes que está * realmente * relacionado con APT tiene alguna información de inteligencia recomendada para SIEM / IDS / etc? Administración de claves en centros de datos en la nube