A08:2021 – Eșecuri de Integritate a Software-ului și Datelor
Software and Data Integrity Failures
Eșecurile de integritate a software-ului și datelor se referă la situațiile în care aplicațiile și infrastructura nu verifică integritatea codului și a datelor, permițând astfel introducerea de componente sau actualizări neautorizate. Aceasta include utilizarea de plugin-uri, biblioteci sau module din surse nesigure, actualizări nesemnate, precum și injecții de cod pe partea clientului.
Această vulnerabilitate este o categorie nouă în topul OWASP 2021, ocupând poziția 8, reflectând importanța crescută a integrității software-ului și datelor în contextul atacurilor din lanțul de aprovizionare (supply chain attacks).
1. Atacuri asupra lanțului de aprovizionare
Atacuri în care un adversar compromite un pachet sau o bibliotecă utilizată de multe aplicații. De exemplu, atacul SolarWinds din 2020, în care atacatorii au inserat cod malițios într-o actualizare a software-ului, care a fost apoi distribuită clienților prin canalele oficiale.
2. Utilizarea de dependențe netrustate
Utilizarea de biblioteci, framework-uri sau module din surse netrustate sau nesigure, fără verificarea integrității acestora. De exemplu, descărcarea și utilizarea de biblioteci de pe site-uri neoficiale sau utilizarea de versiuni modificate ale bibliotecilor populare.
3. Actualizări nesemnate
Aplicații care nu verifică semnăturile digitale ale actualizărilor înainte de a le instala, permițând astfel instalarea de actualizări falsificate sau modificate. Aceasta include și lipsa verificării integrității fișierelor descărcate.
4. Deserializare nesigură
Aplicații care deserializează date din surse netrustate fără verificări adecvate, permițând atacatorilor să manipuleze obiectele serializate pentru a executa cod arbitrar sau pentru a modifica fluxul de execuție al aplicației.
5. Injecții de cod pe partea clientului
Vulnerabilități care permit atacatorilor să injecteze cod malițios în aplicațiile web pe partea clientului. Aceasta include atacuri de tip XSS (Cross-Site Scripting) persistente, în care codul malițios este stocat pe server și livrat ulterior utilizatorilor.