<summary><strong>Leer AWS-hacking van nul tot held met</strong><ahref="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Werk jy in 'n **cybersecurity-maatskappy**? Wil jy jou **maatskappy adverteer in HackTricks**? Of wil jy toegang hê tot die **nuutste weergawe van die PEASS of HackTricks aflaai in PDF-formaat**? Kyk na die [**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)!
* Ontdek [**The PEASS Family**](https://opensea.io/collection/the-peass-family), ons versameling eksklusiewe [**NFTs**](https://opensea.io/collection/the-peass-family)
* Kry die [**amptelike PEASS & HackTricks swag**](https://peass.creator-spring.com)
* **Sluit aan by die** [**💬**](https://emojipedia.org/speech-balloon/) [**Discord-groep**](https://discord.gg/hRep4RUj7f) of die [**telegram-groep**](https://t.me/peass) of **volg** my op **Twitter** 🐦[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Deel jou hacktruuks deur PR's in te dien by die [hacktricks repo](https://github.com/carlospolop/hacktricks) en [hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud)**.
Kortliks, 'n afhanklikheidsverwarringskwesbaarheid kom voor wanneer 'n projek 'n biblioteek met 'n **verkeerd gespelde** naam, **nie-bestaande** of met 'n **ongespesifiseerde weergawe** gebruik en die gebruikte afhanklikheidsbewaarplek toelaat om bygewerkte weergawes van openbare bewaarplekke te **verkry**.
* **Verkeerd gespel**: Importeer **`reqests`** in plaas van `requests`
* **Nie-bestaande**: Importeer `company-logging`, 'n interne biblioteek wat **nie meer bestaan nie**
* **Ongespesifiseerde weergawe**: Importeer 'n **interne****bestaande**`company-requests`-biblioteek, maar die bewaarplek kyk na **openbare bewaarplekke** om te sien of daar **groter weergawes** is.
In alle gevalle hoef die aanvaller net 'n **skadelike pakkie met die naam** van biblioteke wat deur die slagoffermaatskappy gebruik word, te publiseer.
As jou maatskappy probeer om 'n biblioteek te **importeer wat nie intern is nie**, is dit baie waarskynlik dat die bewaarplek van biblioteke dit in **openbare bewaarplekke** sal soek. As 'n aanvaller dit geskep het, is dit baie waarskynlik dat jou kode en masjiene wat loop, gekompromitteer sal word.
Dit is baie algemeen vir ontwikkelaars om **geen weergawe** van die gebruikte biblioteek te spesifiseer, of slegs 'n **hoofweergawe** te spesifiseer. Dan sal die tolk probeer om die **nuutste weergawe** wat aan daardie vereistes voldoen, af te laai.\
As die biblioteek 'n **bekende eksterne biblioteek** is (soos Python se `requests`), kan 'n **aanvaller nie veel doen nie**, omdat hy nie 'n biblioteek met die naam `requests` kan skep nie (tensy hy die oorspronklike outeur is).\
Maar as die biblioteek **intern** is, soos `requests-company` in hierdie voorbeeld, as die **biblioteekbewaarplek** toelaat om **ook ekstern na nuwe weergawes te soek**, sal dit soek na 'n nuwer weergawe wat openbaar beskikbaar is.\
Dus, as 'n **aanvaller weet** dat die maatskappy die `requests-company`-biblioteek **weergawe 1.0.1** gebruik (met klein opdaterings toegelaat), kan hy die biblioteek `requests-company`**weergawe 1.0.2****publiseer** en die maatskappy sal **daardie biblioteek gebruik in plaas van die interne een**.
Hierdie kwesbaarheid is gevind in AWS **CodeArtifact** (lees die [**besonderhede in hierdie blogpos**](https://zego.engineering/dependency-confusion-in-aws-codeartifact-86b9ff68963d)).\
AWS het dit reggestel deur toe te laat om te spesifiseer of 'n biblioteek intern of ekstern is, om te verhoed dat interne afhanklikhede van eksterne bewaarplekke afgelaai word.
In die [**oorspronklike pos oor afhanklikheidsverwarring**](https://medium.com/@alex.birsan/dependency-confusion-4a5d60fec610) het die skrywer gesoek na duisende blootgestelde package.json-lêers wat die afhanklikhede van JavaScript-projekte bevat.
<summary><strong>Leer AWS-hacking van nul tot held met</strong><ahref="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Werk jy in 'n **cybersecurity-maatskappy**? Wil jy jou **maatskappy adverteer in HackTricks**? Of wil jy toegang hê tot die **nuutste weergawe van die PEASS of HackTricks aflaai in PDF-formaat**? Kyk na die [**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)!
* Ontdek [**The PEASS Family**](https://opensea.io/collection/the-peass-family), ons versameling eksklusiewe [**NFTs**](https://opensea.io/collection/the-peass-family)
* Kry die [**amptelike PEASS & HackTricks swag**](https://peass.creator-spring.com)
* **Sluit aan by die** [**💬**](https://emojipedia.org/speech-balloon/) [**Discord-groep**](https://discord.gg/hRep4RUj7f) of die [**telegram-groep**](https://t.me/peass) of **volg** my op **Twitter** 🐦[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Deel jou hacktruuks deur PR's in te dien by die [hacktricks repo](https://github.com/carlospolop/hacktricks) en [hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud)**.
