hacktricks/pentesting-web/dependency-confusion.md

74 lines
6 KiB
Markdown
Raw Normal View History

2022-11-29 16:54:14 +00:00
# Dependency Confusion
<details>
2024-02-11 01:46:25 +00:00
<summary><strong>Naucz się hakować AWS od zera do bohatera z</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
2022-11-29 16:54:14 +00:00
* Czy pracujesz w **firmie zajmującej się cyberbezpieczeństwem**? Chcesz zobaczyć swoją **firmę reklamowaną na HackTricks**? lub chcesz mieć dostęp do **najnowszej wersji PEASS lub pobrać HackTricks w formacie PDF**? Sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
2024-02-11 01:46:25 +00:00
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
* Zdobądź [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* **Dołącz do** [**💬**](https://emojipedia.org/speech-balloon/) [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** mnie na **Twitterze** 🐦[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do [repozytorium hacktricks](https://github.com/carlospolop/hacktricks) i [repozytorium hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud)**.
2022-11-29 16:54:14 +00:00
</details>
<figure><img src="/.gitbook/assets/WebSec_1500x400_10fps_21sn_lightoptimized_v2.gif" alt=""><figcaption></figcaption></figure>
{% embed url="https://websec.nl/" %}
2024-02-11 01:46:25 +00:00
## Podstawowe informacje
2022-11-29 16:54:14 +00:00
W skrócie, podatność na dependency confusion występuje, gdy projekt używa biblioteki z **błędnie napisaną** nazwą, **nieistniejącą** lub z **nieokreśloną wersją**, a repozytorium użytej zależności pozwala na **pobieranie zaktualizowanych wersji z publicznych** repozytoriów.
2022-11-29 16:54:14 +00:00
* **Błędnie napisana**: Importuj **`reqests`** zamiast `requests`
* **Nieistniejąca**: Importuj `company-logging`, wewnętrzną bibliotekę, która **już nie istnieje**
* **Nieokreślona wersja**: Importuj **wewnętrzną** **istniejącą** bibliotekę `company-requests`, ale repo sprawdza **publiczne repozytoria**, aby zobaczyć, czy są **nowsze wersje**.
2022-11-29 16:54:14 +00:00
2024-02-11 01:46:25 +00:00
## Wykorzystanie
2022-11-29 16:54:14 +00:00
{% hint style="warning" %}
W każdym przypadku atakujący musi tylko opublikować **złośliwy pakiet o nazwie** używanej przez firmę ofiary.
2022-11-29 16:54:14 +00:00
{% endhint %}
### Błędnie napisana & Nieistniejąca
2022-11-29 16:54:14 +00:00
Jeśli twoja firma próbuje **importować bibliotekę, która nie jest wewnętrzna**, bardzo prawdopodobne jest, że repozytorium bibliotek będzie próbować jej znaleźć w **publicznych repozytoriach**. Jeśli atakujący ją stworzył, twój kod i uruchomione maszyny prawdopodobnie zostaną skompromitowane.
2022-11-29 16:54:14 +00:00
2024-02-11 01:46:25 +00:00
### Nieokreślona wersja
2022-11-29 16:54:14 +00:00
Bardzo często deweloperzy **nie określają żadnej wersji** używanej biblioteki, lub określają tylko **główną wersję**. Wtedy interpreter spróbuje pobrać **najnowszą wersję** spełniającą te wymagania.\
Jeśli biblioteka jest **znaną zewnętrzną biblioteką** (jak python `requests`), **atakujący nie może zrobić wiele**, ponieważ nie będzie mógł stworzyć biblioteki o nazwie `requests` (chyba że jest oryginalnym autorem).\
Jednak jeśli biblioteka jest **wewnętrzna**, jak `requests-company` w tym przykładzie, jeśli **repozytorium biblioteki** pozwala na **sprawdzanie nowych wersji również zewnętrznie**, będzie szukać nowszej wersji publicznie dostępnej.\
Więc jeśli **atakujący wie**, że firma używa biblioteki `requests-company` **wersji 1.0.1** (pozwala na aktualizacje mniejsze). Może **opublikować** bibliotekę `requests-company` **wersji 1.0.2** i firma **będzie używać tej biblioteki zamiast wewnętrznej**.
2022-11-29 16:54:14 +00:00
## Poprawka AWS
2022-11-29 16:54:14 +00:00
2024-02-11 01:46:25 +00:00
Ta podatność została znaleziona w AWS **CodeArtifact** (przeczytaj [**szczegóły w tym wpisie na blogu**](https://zego.engineering/dependency-confusion-in-aws-codeartifact-86b9ff68963d)).\
AWS naprawiło to, pozwalając określić, czy biblioteka jest wewnętrzna czy zewnętrzna, aby uniknąć pobierania wewnętrznych zależności z zewnętrznych repozytoriów.
2022-11-29 16:54:14 +00:00
## Znajdowanie podatnych bibliotek
2022-11-29 16:54:14 +00:00
W [**oryginalnym poście o dependency confusion**](https://medium.com/@alex.birsan/dependency-confusion-4a5d60fec610) autor szukał tysięcy odsłoniętych plików package.json zawierających zależności projektów JavaScript.
2022-11-29 16:54:14 +00:00
## Odnośniki
2022-11-29 16:54:14 +00:00
* [https://medium.com/@alex.birsan/dependency-confusion-4a5d60fec610](https://medium.com/@alex.birsan/dependency-confusion-4a5d60fec610)
* [https://zego.engineering/dependency-confusion-in-aws-codeartifact-86b9ff68963d](https://zego.engineering/dependency-confusion-in-aws-codeartifact-86b9ff68963d)
<figure><img src="/.gitbook/assets/WebSec_1500x400_10fps_21sn_lightoptimized_v2.gif" alt=""><figcaption></figcaption></figure>
{% embed url="https://websec.nl/" %}
2022-11-29 16:54:14 +00:00
<details>
2024-02-11 01:46:25 +00:00
<summary><strong>Naucz się hakować AWS od zera do bohatera z</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
2022-11-29 16:54:14 +00:00
* Czy pracujesz w **firmie zajmującej się cyberbezpieczeństwem**? Chcesz zobaczyć swoją **firmę reklamowaną na HackTricks**? lub chcesz mieć dostęp do **najnowszej wersji PEASS lub pobrać HackTricks w formacie PDF**? Sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
2024-02-11 01:46:25 +00:00
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
* Zdobądź [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* **Dołącz do** [**💬**](https://emojipedia.org/speech-balloon/) [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** mnie na **Twitterze** 🐦[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do [repozytorium hacktricks](https://github.com/carlospolop/hacktricks) i [repozytorium hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud)**.
2022-11-29 16:54:14 +00:00
</details>