[ホーム] ＞ [サイバー攻撃大辞典トップ] ＞ [依存関係かく乱攻撃(dependency confusion)]

作成日：2021/02/12

依存関係かく乱攻撃(dependency confusion)

依存関係かく乱攻撃とはプライベートレポジトリで使用しているパッケージと同じ名前の悪意のパッケージをパブリックレポジトリにプロダクトに不正なコードを入れ込む攻撃手法。
一般的にプロダクトは機密性が高いパッケージはパブリックではなくプライベートレポジトリに格納し使用する。
悪意の攻撃者が何らかの方法でこのパッケージ名を知ればパブリックレポジトリに同じ名前で悪意のパッケージをしのばせこめば、依存関係によりこちらが使われる可能性が出てくる。

依存性

マイクロソフト、企業アプリを狙う「依存関係かく乱攻撃」について警告
https://japan.zdnet.com/article/35166404/

[ホーム] ＞ [サイバー攻撃大辞典トップ] ＞ [依存関係かく乱攻撃(dependency confusion)]

本サイト内掲載されている情報は、誰もその正当性は保証しません。独自の調査により判明した事項を記載しており、内容に誤りがある可能性があります。
内容により発生したいかなる損害は誰も補償しません。自己責任で参考として閲覧してください。
本サイト内掲載されている情報は、著作権法により保護されています。いかなる場合でも権利者の許可なくコピー、配布することはできません。このページはリンクフリーです。(このページへの直接リンクも可能です。) Copyright(c) securitychecklist.net 2015 - 2020