5.9 KiB
डिपेंडेंसी कन्फ्यूजन
☁️ हैकट्रिक्स क्लाउड ☁️ -🐦 ट्विटर 🐦 - 🎙️ ट्विच 🎙️ - 🎥 यूट्यूब 🎥
- क्या आप किसी साइबर सुरक्षा कंपनी में काम करते हैं? क्या आप अपनी कंपनी को हैकट्रिक्स में विज्ञापित देखना चाहते हैं? या क्या आपको PEASS की नवीनतम संस्करण या HackTricks को PDF में डाउनलोड करने की आवश्यकता है? सदस्यता योजनाएं की जांच करें!
- द पीएस फैमिली की खोज करें, हमारा एकल NFT संग्रह
- आधिकारिक PEASS और HackTricks स्वैग प्राप्त करें
- शामिल हों 💬 डिस्कॉर्ड समूह या टेलीग्राम समूह में या मुझे ट्विटर पर फ़ॉलो करें 🐦@carlospolopm.
- हैकिंग ट्रिक्स साझा करें हैकट्रिक्स रेपो (https://github.com/carlospolop/hacktricks) और हैकट्रिक्स-क्लाउड रेपो में पीआर जमा करके।
मूलभूत जानकारी
संक्षेप में, डिपेंडेंसी कन्फ्यूजन संकट उत्पन्न होता है जब एक परियोजना एक पुस्तकालय का उपयोग कर रही होती है जिसका गलत वर्तनी वाला नाम, अस्तित्व नहीं होता है या एक निर्दिष्ट संस्करण के साथ और उपयोग की जाने वाली डिपेंडेंसी रिपॉजिटरी सार्वजनिक रिपॉजिटरी से नवीनतम संस्करणों को इकट्ठा करने की अनुमति देती है।
- गलत वर्तनी वाला:
requestsकी जगह परreqestsको आयात करें - अस्तित्व नहीं:
कंपनी-लॉगिंगको आयात करें, एक आंतरिक पुस्तकालय जो अब मौजूद नहीं है - निर्दिष्ट संस्करण: इस उदाहरण में
requests-companyजैसी आंतरिक मौजूद पुस्तकालय को आयात करें, लेकिन रिपॉजिटरी सार्वजनिक रिपॉजिटरियों की जांच करती है कि क्या बड़े संस्करण हैं।
शोषण
{% hint style="warning" %} सभी मामलों में हमलावर को केवल एक हानिकारक पैकेज जारी करने की आवश्यकता होती है जिसका नाम शिकार कंपनी द्वारा उपयोग की जाने वाली पुस्तकालयों का होता है। {% endhint %}
गलत वर्तनी वाला और अस्तित्व नहीं
यदि आपकी कंपनी कोई आंतरिक पुस्तकालय नहीं आयात करने की कोशिश कर रही है, तो बहुत संभावना है कि पुस्तकालयों का रिपॉजिटरी उसे सार्वजनिक रिपॉजिटरियों में खोजने की कोशिश करेगा। यदि किसी हमलावर ने इसे बनाया है, तो आपका कोड और मशीन जो चल रही है, बहुत संभावना है कि संक्रमित हो जाएगा।
निर्दिष्ट संस्करण
डेवलपर्स के लिए बहुत सामान्य है कि वे पुस्तकालय के किसी भी संस्करण को निर्दिष्ट नहीं करें, या केवल एक महत्त्वपूर्ण संस्करण को निर्दिष्ट करें। फिर, इंटरप्रेटर नवीनतम संस्करण को डाउनलोड करने की कोशिश करेगा जो उन आवश्यकताओं को पूर