elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Recuerda que debes registrarte en el foro para poder participar (preguntar y responder)


+  Foro de elhacker.net
|-+  Programación
| |-+  Desarrollo Web (Moderador: #!drvy)
| | |-+  [Pregunta]: ¿Composer genera una vulnerabilidad?
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: [Pregunta]: ¿Composer genera una vulnerabilidad?  (Leído 2,519 veces)
Leguim


Desconectado Desconectado

Mensajes: 720



Ver Perfil
[Pregunta]: ¿Composer genera una vulnerabilidad?
« en: 21 Septiembre 2021, 23:24 pm »

Básicamente te deja una carpeta en la aplicación que se llama "vendor" con una lista de archivos donde cualquiera podría acceder a ellos mediante la url, y ver lo que contienen estos archivos.

¿Algo de qué preocuparme?


En línea

[u]nsigned


Desconectado Desconectado

Mensajes: 2.397

JS/Node developer


Ver Perfil WWW
Re: [Pregunta]: ¿Composer genera una vulnerabilidad?
« Respuesta #1 en: 22 Septiembre 2021, 00:57 am »

No deberias preocuparte por eso. Igual d todas formas, si tenes tu proyecto en github, esta tiene un bot que automáticamente te alerta de cualquier issu de seguridad en tus paquetes.

Al menos con NPM (el Composer de NodeJs) funciona sin hacer nada, pero por si queres revisar:

https://docs.github.com/es/code-security/supply-chain-security/managing-vulnerabilities-in-your-projects-dependencies/configuring-dependabot-security-updates


En línea

No hay atajo ante la duda, el misterio se hace aquí...
Se hace carne en cada uno, el misterio es existir!
#!drvy
Moderador
***
Desconectado Desconectado

Mensajes: 5.855



Ver Perfil WWW
Re: [Pregunta]: ¿Composer genera una vulnerabilidad?
« Respuesta #2 en: 22 Septiembre 2021, 10:45 am »

¿¿¿Eh???

tienes que preocuparte. Tienes que chapar el acceso a esa carpeta protegiendo el directorio para que solo pueda entrar localhost/127.0.0.1, es decir, la propia máquina o sacarlo fuera del DOCUMENT_ROOT. La mayoría de frameworks de PHP tienen una carpeta específica para DOCUMENT_ROOT y todo lo demás queda a un nivel superior que no debe ser accesible. Si no puedes hacerlo de esa forma, chapa el acceso a esa carpeta.

Además, cualquier librería que uses puede tener una vulnerabilidad desconocida que obviamente puede ser explotada.. para eso se recomiendan actualizaciones frecuentes.

Y siempre asegúrate a desplegar en producción con --no-dev para no desplegar paquetes de desarrollo.


Para cuando github te avisa de una vulnerabilidad, el disclousure está hecho y probablemente ya se está explotando en vivo. Confiar en que te avise para tomar acción es tonteria.

Saludos
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
JavaFX Composer
Java
mapers 0 2,030 Último mensaje 31 Mayo 2012, 20:46 pm
por mapers
Pregunta: Como funciona una aplicacion que genera otra aplicacion?
Programación C/C++
inGnio 2 3,403 Último mensaje 18 Octubre 2012, 04:48 am
por x64core
librerías instaladas con composer
Desarrollo Web
loml666 0 1,575 Último mensaje 8 Mayo 2019, 21:58 pm
por loml666
[Pregunta]: ¿Acarrea alguna vulnerabilidad? « 1 2 »
Desarrollo Web
Leguim 14 5,416 Último mensaje 20 Diciembre 2019, 14:49 pm
por MinusFour
[Pregunta]: ¿Existe una vulnerabilidad de inyección en esta consulta?
Desarrollo Web
Leguim 3 3,083 Último mensaje 12 Diciembre 2020, 20:37 pm
por Danielㅤ
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines