* Travaillez-vous dans une **entreprise de cybersécurité**? Vous voulez voir votre **entreprise annoncée dans HackTricks**? ou voulez-vous avoir accès à la **dernière version du PEASS ou télécharger HackTricks en PDF**? Consultez les [**PLANS D'ABONNEMENT**](https://github.com/sponsors/carlospolop)!
* Découvrez [**La famille PEASS**](https://opensea.io/collection/the-peass-family), notre collection exclusive de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Rejoignez le** [**💬**](https://emojipedia.org/speech-balloon/) [**groupe Discord**](https://discord.gg/hRep4RUj7f) ou le [**groupe Telegram**](https://t.me/peass) ou **suivez** moi sur **Twitter****🐦**[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Partagez vos astuces de piratage en soumettant des PR au [dépôt hacktricks](https://github.com/carlospolop/hacktricks) et [dépôt hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud)**.
En résumé, une vulnérabilité de confusion de dépendance se produit lorsqu'un projet utilise une bibliothèque avec un nom **mal orthographié**, **inexistant** ou avec une **version non spécifiée** et que le référentiel de dépendances utilisé permet de **rassembler des versions mises à jour à partir de référentiels publics**.
* **Version non spécifiée** : Importez une bibliothèque **interne****existante**`company-requests`, mais le référentiel vérifie les **dépôts publics** pour voir s'il existe des **versions supérieures**.
Si votre entreprise tente d'**importer une bibliothèque qui n'est pas interne**, il est très probable que le référentiel des bibliothèques va la chercher dans les **dépôts publics**. Si un attaquant l'a créée, votre code et vos machines en cours d'exécution seront très probablement compromis.
Il est très courant que les développeurs **ne spécifient pas de version** de la bibliothèque utilisée, ou spécifient juste une **version majeure**. Ensuite, l'interpréteur tentera de télécharger la **dernière version** répondant à ces exigences.\
Si la bibliothèque est une **bibliothèque externe connue** (comme `requests` en python), un **attaquant ne peut pas faire grand-chose**, car il ne pourra pas créer une bibliothèque appelée `requests` (à moins qu'il ne soit l'auteur original).\
Cependant, si la bibliothèque est **interne**, comme `requests-company` dans cet exemple, si le **référentiel de la bibliothèque** permet de **vérifier également les nouvelles versions de manière externe**, il recherchera une version plus récente disponible publiquement.\
Donc si un **attaquant sait** que l'entreprise utilise la bibliothèque `requests-company`**version 1.0.1** (autorise les mises à jour mineures), il peut **publier** la bibliothèque `requests-company`**version 1.0.2** et l'entreprise **utilisera cette bibliothèque à la place** de la interne.
Cette vulnérabilité a été trouvée dans AWS **CodeArtifact** (lisez les [**détails dans ce billet de blog**](https://zego.engineering/dependency-confusion-in-aws-codeartifact-86b9ff68963d)).\
AWS a corrigé cela en permettant de spécifier si une bibliothèque est interne ou externe, pour éviter de télécharger des dépendances internes à partir de référentiels externes.
Dans le [**article original sur la confusion de dépendance**](https://medium.com/@alex.birsan/dependency-confusion-4a5d60fec610), l'auteur a recherché des milliers de fichiers package.json exposés contenant les dépendances des projets JavaScript.
* Travaillez-vous dans une **entreprise de cybersécurité**? Vous voulez voir votre **entreprise annoncée dans HackTricks**? ou voulez-vous avoir accès à la **dernière version du PEASS ou télécharger HackTricks en PDF**? Consultez les [**PLANS D'ABONNEMENT**](https://github.com/sponsors/carlospolop)!
* Découvrez [**La famille PEASS**](https://opensea.io/collection/the-peass-family), notre collection exclusive de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Rejoignez le** [**💬**](https://emojipedia.org/speech-balloon/) [**groupe Discord**](https://discord.gg/hRep4RUj7f) ou le [**groupe Telegram**](https://t.me/peass) ou **suivez** moi sur **Twitter****🐦**[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Partagez vos astuces de piratage en soumettant des PR au [dépôt hacktricks](https://github.com/carlospolop/hacktricks) et [dépôt hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud)**.