[Перевод] Защита от уязвимости Dependency Confusion в PHP с помощью Composer
Недавно Алекс Бирсан опубликовал статью «Dependency Confusion: How I Hacked Into Apple, Microsoft and Dozens of Other Companies», в которой рассказал, как использовал диспетчеры пакетов уровня языков наподобие npm (Javascript), pip (Python) и gems (Ruby), чтобы заставить компании установить и запустить в своей инфраструктуре зловредный код.
Проблема сводится к тому, что компании ссылаются на внутренние пакеты по имени, например my-internal-package, а злоумышленник публикует в центральном реестре/репозитории пакетов языка (для PHP это packagist.org) пакет с таким же названием my-internal-package, имеющий более высокую версию. После этого компании устанавливали и выполняли эти зловредные пакеты вместо своих внутренних пакетов, потому что их диспетчер пакетов выбирал версию с более высоким номером из стандартного репозитория пакетов вместо внутреннего репозитория.
Читать дальше →
Источник: Хабрахабр
Похожие новости
- Каким будет фишинг в ближайшем будущем
- 82% зумеров хотят, чтобы бренды обращались к ним на «вы»
- Топ самых интересных CVE за май 2025 года
- Spark_news: Мобильный коллапс: отключение интернета в некоторых регионах ударило по маркетплейсам
- Spark_news: Samsung находится на финальной стадии переговоров с Perplexity AI о заключении стратегического альянса
- Как сделать безопасным код сайта на Битрикс: шпаргалка по основным уязвимостям, часть 3
- Как обманывают ИТ-соискателей: три мошеннические схемы
- Spark_news: Уфимцы — в первых рядах: мечта о Марсе объединяет 27% россиян
- Почему «99.9% аптайма» – это не то, что вы думаете
- Spark_news: Ozon запустил автолизинг для бизнеса