# Kuchanganyikiwa kwa Utegemezi

<details>

<summary><strong>Jifunze kuhusu kudukua AWS kutoka sifuri hadi shujaa na</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (Mtaalam wa Timu Nyekundu ya AWS ya HackTricks)</strong></a><strong>!</strong></summary>

* Je, unafanya kazi katika **kampuni ya usalama wa mtandao**? Je, ungependa kuona **kampuni yako ikionekana katika HackTricks**? Au ungependa kupata **toleo jipya zaidi la PEASS au kupakua HackTricks kwa PDF**? Angalia [**MPANGO WA KUJIUNGA**](https://github.com/sponsors/carlospolop)!
* Gundua [**Familia ya PEASS**](https://opensea.io/collection/the-peass-family), mkusanyiko wetu wa kipekee wa [**NFTs**](https://opensea.io/collection/the-peass-family)
* Pata [**swag rasmi ya PEASS & HackTricks**](https://peass.creator-spring.com)
* **Jiunge na** [**💬**](https://emojipedia.org/speech-balloon/) [**Kikundi cha Discord**](https://discord.gg/hRep4RUj7f) au [**kikundi cha telegram**](https://t.me/peass) au **nifuatilie** kwenye **Twitter** 🐦[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Shiriki mbinu zako za kudukua kwa kuwasilisha PR kwenye [repo ya hacktricks](https://github.com/carlospolop/hacktricks) na [repo ya hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud)**.

</details>

## Taarifa Msingi

Kwa muhtasari, udhaifu wa kuchanganyikiwa kwa utegemezi hutokea wakati mradi unatumia maktaba yenye jina **lililokosewa**, **isiyokuwepo**, au na **toleo lisiloelezwa**, na hifadhi ya utegemezi inayotumiwa inaruhusu **kukusanya toleo jipya kutoka kwenye hifadhi za umma**.

* **Jina lililokosewa**: Ingiza **`reqests`** badala ya `requests`
* **Isiyokuwepo**: Ingiza `company-logging`, maktaba ya ndani ambayo **haipo tena**
* **Toleo lisiloelezwa**: Ingiza maktaba ya **ndani** **iliyopo** `company-requests`, lakini hifadhi inachunguza **hifadhi za umma** ili kuona kama kuna **toleo kubwa**.

## Udukuzi

{% hint style="warning" %}
Katika kila kesi, mshambuliaji anahitaji tu kuchapisha **pakiti yenye nia mbaya na jina** la maktaba zinazotumiwa na kampuni ya mwathirika.
{% endhint %}

### Jina Lililokosewa & Isiyokuwepo

Ikiwa kampuni yako inajaribu **kuagiza maktaba ambayo sio ya ndani**, kuna uwezekano mkubwa hifadhi ya maktaba itatafuta hiyo katika **hifadhi za umma**. Ikiwa mshambuliaji ameitunga, namna kodi yako na mashine zinazoendesha zinaweza kuwa hatarini sana.

### Toleo Lisiloelezwa

Ni kawaida sana kwa watengenezaji kutotaja **toleo lolote** la maktaba inayotumiwa, au kutaja tu **toleo kuu**. Kisha, mkalimani atajaribu kupakua **toleo jipya zaidi** linalolingana na mahitaji hayo.\
Ikiwa maktaba ni **maktaba ya nje inayojulikana** (kama vile `requests` ya python), **mshambuliaji hawezi kufanya mengi**, kwani hataweza kuunda maktaba inayoitwa `requests` (isipokuwa yeye ndiye mwandishi halisi).\
Walakini, ikiwa maktaba ni **ya ndani**, kama vile `requests-company` katika mfano huu, ikiwa **hifadhi ya maktaba** inaruhusu **kuangalia toleo jipya pia kwa njia ya nje**, itatafuta toleo jipya linalopatikana hadharani.\
Kwa hivyo ikiwa **mshambuliaji anajua** kuwa kampuni inatumia maktaba ya `requests-company` **toleo 1.0.1** (inaruhusu sasisho ndogo). Anaweza **kuchapisha** maktaba ya `requests-company` **toleo 1.0.2** na kampuni ita**tumia maktaba hiyo badala** ya ile ya ndani.

## AWS Mwisho

Udhaifu huu uligunduliwa katika AWS **CodeArtifact** (soma [**mambo ya kina katika chapisho hili la blogu**](https://zego.engineering/dependency-confusion-in-aws-codeartifact-86b9ff68963d)).\
AWS ilirekebisha hili kwa kuruhusu kutaja ikiwa maktaba ni ya ndani au ya nje, ili kuepuka kupakua utegemezi wa ndani kutoka kwenye hifadhi za nje.

## Kupata Maktaba Zenye Udhaifu

Katika [**chapisho asili kuhusu kuchanganyikiwa kwa utegemezi**](https://medium.com/@alex.birsan/dependency-confusion-4a5d60fec610) mwandishi alitafuta maelfu ya faili za package.json zilizo wazi zinazoonyesha utegemezi wa miradi ya javascript.

## Marejeo

* [https://medium.com/@alex.birsan/dependency-confusion-4a5d60fec610](https://medium.com/@alex.birsan/dependency-confusion-4a5d60fec610)
* [https://zego.engineering/dependency-confusion-in-aws-codeartifact-86b9ff68963d](https://zego.engineering/dependency-confusion-in-aws-codeartifact-86b9ff68963d)

<details>

<summary><strong>Jifunze kuhusu kudukua AWS kutoka sifuri hadi shujaa na</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (Mtaalam wa Timu Nyekundu ya AWS ya HackTricks)</strong></a><strong>!</strong></summary>

* Je, unafanya kazi katika **kampuni ya usalama wa mtandao**? Je, ungependa kuona **kampuni yako ikionekana katika HackTricks**? Au ungependa kupata **toleo jipya zaidi la PEASS au kupakua HackTricks kwa PDF**? Angalia [**MPANGO WA KUJIUNGA**](https://github.com/sponsors/carlospolop)!
* Gundua [**Familia ya PEASS**](https://opensea.io/collection/the-peass-family), mkusanyiko wetu wa kipekee wa [**NFTs**](https://opensea.io/collection/the-peass-family)
* Pata [**swag rasmi ya PEASS & HackTricks**](https://peass.creator-spring.com)
* **Jiunge na** [**💬**](https://emojipedia.org/speech-balloon/) [**Kikundi cha Discord**](https://discord.gg/hRep4RUj7f) au [**kikundi cha telegram**](https://t.me/peass) au **nifuatilie** kwenye **Twitter** 🐦[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Shiriki mbinu zako za kudukua kwa kuwasilisha PR kwenye [repo ya hacktricks](https://github.com/carlospolop/hacktricks) na [repo ya hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud)**.

</details>