hacktricks/pentesting-web/dependency-confusion.md

65 lines
6.6 KiB
Markdown
Raw Normal View History

2023-06-03 13:10:46 +00:00
# Confusion de dépendances
2022-11-29 16:54:14 +00:00
<details>
2023-04-25 18:35:28 +00:00
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
2022-11-29 16:54:14 +00:00
2023-06-03 13:10:46 +00:00
* Travaillez-vous dans une **entreprise de cybersécurité** ? Voulez-vous voir votre **entreprise annoncée dans HackTricks** ? ou voulez-vous avoir accès à la **dernière version de PEASS ou télécharger HackTricks en PDF** ? Consultez les [**PLANS D'ABONNEMENT**](https://github.com/sponsors/carlospolop) !
* Découvrez [**The PEASS Family**](https://opensea.io/collection/the-peass-family), notre collection exclusive de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Obtenez le [**swag officiel PEASS & HackTricks**](https://peass.creator-spring.com)
* **Rejoignez le** [**💬**](https://emojipedia.org/speech-balloon/) [**groupe Discord**](https://discord.gg/hRep4RUj7f) ou le [**groupe telegram**](https://t.me/peass) ou **suivez** moi sur **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Partagez vos astuces de piratage en soumettant des PR au [repo hacktricks](https://github.com/carlospolop/hacktricks) et au [repo hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud)**.
2022-11-29 16:54:14 +00:00
</details>
2023-06-03 13:10:46 +00:00
## Informations de base
2022-11-29 16:54:14 +00:00
2023-06-03 13:10:46 +00:00
En résumé, une vulnérabilité de confusion de dépendances se produit lorsqu'un projet utilise une bibliothèque avec un nom **mal orthographié**, **inexistant** ou avec une **version non spécifiée** et que le référentiel de dépendances utilisé permet de **rassembler des versions mises à jour à partir de référentiels publics**.
2022-11-29 16:54:14 +00:00
2023-06-03 13:10:46 +00:00
* **Mal orthographié** : Importez **`reqests`** au lieu de `requests`
* **Inexistant** : Importez `company-logging`, une bibliothèque interne qui **n'existe plus**
* **Version non spécifiée** : Importez une bibliothèque **interne existante** `company-requests`, mais le référentiel vérifie les **dépôts publics** pour voir s'il existe des **versions supérieures**.
2022-11-29 16:54:14 +00:00
## Exploitation
{% hint style="warning" %}
2023-06-03 13:10:46 +00:00
Dans tous les cas, l'attaquant n'a besoin que de publier un **paquet malveillant avec le nom** des bibliothèques utilisées par l'entreprise victime.
2022-11-29 16:54:14 +00:00
{% endhint %}
2023-06-03 13:10:46 +00:00
### Mal orthographié & Inexistant
2022-11-29 16:54:14 +00:00
2023-06-03 13:10:46 +00:00
Si votre entreprise essaie d'**importer une bibliothèque qui n'est pas interne**, il est très probable que le référentiel de bibliothèques la recherche dans les **dépôts publics**. Si un attaquant l'a créé, votre code et les machines en cours d'exécution seront très probablement compromis.
2022-11-29 16:54:14 +00:00
2023-06-03 13:10:46 +00:00
### Version non spécifiée
2022-11-29 16:54:14 +00:00
2023-06-03 13:10:46 +00:00
Il est très courant que les développeurs **ne spécifient aucune version** de la bibliothèque utilisée, ou ne spécifient qu'une **version majeure**. Ensuite, l'interpréteur essaiera de télécharger la **dernière version** correspondant à ces exigences.\
Si la bibliothèque est une **bibliothèque externe connue** (comme `requests` en python), un **attaquant ne peut pas faire grand-chose**, car il ne pourra pas créer une bibliothèque appelée `requests` (à moins qu'il ne soit l'auteur original).\
Cependant, si la bibliothèque est **interne**, comme `requests-company` dans cet exemple, si le **référentiel de bibliothèque** permet de **vérifier également les nouvelles versions de manière externe**, il recherchera une version plus récente disponible publiquement.\
Ainsi, si un **attaquant sait** que l'entreprise utilise la bibliothèque `requests-company` **version 1.0.1** (autorise les mises à jour mineures), il peut **publier** la bibliothèque `requests-company` **version 1.0.2** et l'entreprise **utilisera cette bibliothèque à la place** de l'interne.
2022-11-29 16:54:14 +00:00
2023-06-03 13:10:46 +00:00
## Correction AWS
2022-11-29 16:54:14 +00:00
2023-06-03 13:10:46 +00:00
Cette vulnérabilité a été trouvée dans AWS **CodeArtifact** (lire les [**détails dans ce billet de blog**](https://zego.engineering/dependency-confusion-in-aws-codeartifact-86b9ff68963d)).\
AWS a corrigé cela en permettant de spécifier si une bibliothèque est interne ou externe, afin d'éviter de télécharger des dépendances internes à partir de référentiels externes.
2022-11-29 16:54:14 +00:00
2023-06-03 13:10:46 +00:00
## Recherche de bibliothèques vulnérables
2022-11-29 16:54:14 +00:00
2023-06-03 13:10:46 +00:00
Dans le [**post original sur la confusion de dépendances**](https://medium.com/@alex.birsan/dependency-confusion-4a5d60fec610), l'auteur a recherché des milliers de fichiers package.json exposés contenant les dépendances de projets JavaScript.
2022-11-29 16:54:14 +00:00
2023-06-03 13:10:46 +00:00
## Références
2022-11-29 16:54:14 +00:00
* [https://medium.com/@alex.birsan/dependency-confusion-4a5d60fec610](https://medium.com/@alex.birsan/dependency-confusion-4a5d60fec610)
* [https://zego.engineering/dependency-confusion-in-aws-codeartifact-86b9ff68963d](https://zego.engineering/dependency-confusion-in-aws-codeartifact-86b9ff68963d)
<details>
2023-04-25 18:35:28 +00:00
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
2022-11-29 16:54:14 +00:00
2023-06-03 13:10:46 +00:00
* Travaillez-vous dans une **entreprise de cybersécurité** ? Voulez-vous voir votre **entreprise annoncée dans HackTricks** ? ou voulez-vous avoir accès à la **dernière version de PEASS ou télécharger HackTricks en PDF** ? Consultez les [**PLANS D'ABONNEMENT**](https://github.com/sponsors/carlospolop) !
* Découvrez [**The PEASS Family**](https://opensea.io/collection/the-peass-family), notre collection exclusive de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Obtenez le [**swag officiel PEASS & HackTricks**](https://peass.creator-spring.com)
* **Rejoignez le** [**💬**](https://emojipedia.org/speech-balloon/) [**groupe Discord**](https://discord.gg/hRep4RUj7f) ou le [**groupe telegram**](https://t.me/peass) ou **suivez** moi sur **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Partagez vos astuces de piratage en soumettant des PR au [repo hacktricks](https://github.com/carlospolop/hacktricks) et au [repo hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud)**.
2022-11-29 16:54:14 +00:00
</details>