웹 보안에서 Dependency Confusion(의존성 혼동) 공격의 원리는?

Q: 웹 보안에서 Dependency Confusion(의존성 혼동) 공격의 원리는?

공개 패키지 저장소에 내부 전용 패키지와 같은 이름으로 악성 패키지를 등록하여 설치를 유도한다 기업이 내부 npm/PyPI 레지스트리에서 'my-company-utils'를 사용할 때, 공격자가 공개 레지스트리(npmjs.com)에 같은 이름으로 높은 버전을 등록합니다. 패키지 매니저가 공개 레지스트리를 우선 참조하면 악성 패키지가 설치됩니다. .npmrc의 scope 설정이나 레지스트리 우선순위 설정으로 방어합니다.

어려움 Stack Overflow

보기 및 정답

A 공개 패키지 저장소에 내부 전용 패키지와 같은 이름으로 악성 패키지를 등록하여 설치를 유도한다

B 패키지의 의존성 그래프를 인위적으로 복잡하게 만들어 빌드 시스템이 실패하도록 유도한다

C 오래된 버전의 패키지를 강제로 설치하여 이미 알려진 보안 취약점을 애플리케이션에 의도적으로 노출시킨다

D 패키지 매니저의 로컬 캐시를 삭제하여 이후 빌드에서 의존성 해결이 실패하도록 만든다

해설

기업이 내부 npm/PyPI 레지스트리에서 'my-company-utils'를 사용할 때, 공격자가 공개 레지스트리(npmjs.com)에 같은 이름으로 높은 버전을 등록합니다. 패키지 매니저가 공개 레지스트리를 우선 참조하면 악성 패키지가 설치됩니다. .npmrc의 scope 설정이나 레지스트리 우선순위 설정으로 방어합니다.

코딩, 제대로 배우고 싶다면?

개념 확인은 퀴즈로, 실력은 실전 프로젝트로.
투더제이 코딩클래스에서 시작하세요.

정규반 살펴보기

로그인

추가 정보 입력

회원가입

비밀번호 찾기

웹 보안에서 Dependency Confusion(의존성 혼동) 공격의 원리는?

해설

코딩, 제대로 배우고 싶다면?

관련 문제

모두를 위한 진짜 쎈 바이브코딩