偵測到套件相依性

medium Web App Scanning Plugin ID 113158

概要

偵測到套件相依性

說明

程式設計語言通常與套件管理工具搭配使用,套件管理工具可協助開發人員在構建 Web 應用程式時管理程式碼相依性 (例如:Composer for PHP、NPM for NodeJS、PIP for Python...)。這些工具的運作方式通常是要求公開程式碼存放庫,以擷取相依性,並協助在專案中安裝和使用特定版本。

如果套件設定檔外洩,攻擊者就可利用此弱點推斷目標應用程式中使用的軟體元件,並嘗試發動進一步攻擊。

解決方案

透過設定適當的權限,來確保套件管理工具檔案不會隨應用程式一起部署,或至少不會暴露在 Web 伺服器目錄中。檢閱應用程式中使用的軟體元件,確保其符合預期且來自受信任的發布來源。

另請參閱

https://developer.mozilla.org/en-US/docs/Learn/Tools_and_testing/Understanding_client-side_tools/Package_management

https://devopedia.org/dependency-manager/

Plugin 詳細資訊

嚴重性: Medium

ID: 113158

類型: remote

已發布: 2022/2/23

已更新: 2024/3/18

掃描範本: api, basic, full, pci, scan

風險資訊

VPR

風險因素: Low

分數: 1.4

CVSS v2

風險因素: Medium

基本分數: 5

媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N

CVSS 評分資料來源: Tenable

CVSS v3

風險因素: Medium

基本分數: 5.3

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

CVSS 評分資料來源: Tenable

CVSS v4

風險因素: Medium

Base Score: 6.9

Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N

CVSS 評分資料來源: Tenable

參考資訊