Lesen und beachten Sie die Automation Anywhere-Dokumentation

Automation Anywhere

Inhalt schließen

Inhalte

Inhalt öffnen

Befolgen von sicheren Programmierungspraktiken

  • Aktualisiert: 5/10/2019
    • 11.3.x
    • Erstellen
    • Enterprise

Befolgen von sicheren Programmierungspraktiken

Bot-Entwickler sollten sicherstellen, dass ihr Code den standardmäßigen sicheren Programmierungspraktiken entspricht, einschließlich Bot-Logik und C#-Code, der für DLLs geschrieben wurde.

Die folgende Liste der Sicherheitsprüfungen ist allgemein anwendbar und für die Bot-Erstellung relevant.

Diese Prüfungen sind auf bestimmte Softwareschwachstellen ausgerichtet, die vom Open Web Application Security Project (OWASP) identifiziert wurden, einer gemeinnützigen Organisation, die sich auf die Verbesserung der Sicherheit von Software konzentriert. Jedes der folgenden OWASP-Probleme entspricht bestimmten Punkten der Common Weakness Enumeration (CWE), einer von MITRE, einer gemeinnützigen Forschungs- und Entwicklungsgruppe, bereitgestellten Liste von Softwaresicherheitslücken, die bei der Softwareentwicklung auftreten können.

Entwickler sollten zusätzliche, sichere Programmierungspraktiken in Übereinstimmung mit den internen Sicherheitsrichtlinien ihrer Umgebungen in Betracht ziehen.

OWASP-Problem Beschreibung Entsprechende CWEs
A1: Injection Nahezu jede Datenquelle kann ein Injection-Vektor sein: Umgebungsvariablen, Parameter, externe und interne Webdienste und alle Nutzertypen. Injection-Fehler treten auf, wenn ein Angreifer schädliche Daten an einen Interpreter senden kann.
  • CWE-78: Unsachgemäße Neutralisierung spezieller Elemente, die in einem Betriebssystembefehl verwendet werden („OS Command Injection“)
  • CWE-89: SQL-Injection
  • CWE-94: Code-Injection
  • CWE-434: Uneingeschränktes Hochladen von Dateien eines gefährlichen Typs
  • CWE-494: Herunterladen von Code ohne Integritätsprüfung
  • CWE-829: Einbeziehung von Funktionalität aus nicht vertrauenswürdiger Kontrollsphäre

A2: Fehlerhafte Authentifizierung Angreifer haben Zugriff auf hunderte Millionen gültiger Kombinationen aus Nutzernamen und Kennwörtern für das Ausfüllen von Anmeldedaten, für Standard-Verwaltungskontolisten, automatisierte Brute-Force-Angriffe und Wörterbuchangriffstools. Sitzungsverwaltungsangriffe werden gut verstanden, insbesondere in Bezug auf nicht abgelaufene Sitzungstoken.
  • CWE-306: Fehlende Authentifizierung für eine kritische Funktion
  • CWE-307: Unzulässige Einschränkung übermäßiger Authentifizierungsversuche
  • CWE-798: Verwendung von fest programmierten Anmeldedaten
  • CWE-807: Vertrauen auf nicht vertrauenswürdige Eingaben bei einer Sicherheitsentscheidung
  • CWE-862: Fehlende Autorisierung
  • CWE-863: Falsche Autorisierung
A3: Offenlegung sensibler Daten Anstatt Crypto direkt anzugreifen, stehlen Angreifer Schlüssel, führen Man-in-the-Middle-Angriffe aus oder stehlen Klartextdaten vom Server, während diese übertragen werden, oder vom Client des Nutzers, z. B. einem Browser. In der Regel ist ein manueller Angriff erforderlich. Zuvor abgerufene Kennwortdatenbanken können von Graphics Processing Units (GPUs) durch Brute-Force angegriffen werden.
  • CWE-311: Fehlende Verschlüsselung sensibler Daten
  • CWE-319: Klartextübermittlung sensibler Informationen
A5: Fehlerhafte Zugriffssteuerung Die Ausnutzung der Zugriffssteuerung ist eine Kernkompetenz von Angreifern. SAST- und DAST-Tools können zwar das Fehlen einer Zugriffssteuerung erkennen, bei einer vorhandenen Zugriffssteuerung aber nicht überprüfen, ob diese funktionsfähig ist. Die Zugriffssteuerung ist mit manuellen Mitteln oder möglicherweise durch Automatisierung im Hinblick auf das Fehlen von Zugriffssteuerungen in bestimmten Frameworks feststellbar.
  • CWE-73: Externe Kontrolle des Dateinamens oder -pfads
  • CWE-285: Unsachgemäße Autorisierung
A6: Fehlerhafte Sicherheitskonfiguration Angreifer versuchen oft, ungepatchte Fehler auszunutzen oder auf Standardkonten, nicht verwendete Seiten, ungeschützte Dateien und Verzeichnisse usw. zuzugreifen, um unberechtigten Zugriff auf oder Kenntnisse über das System zu erlangen.
  • CWE-250: Ausführung mit unnötigen Berechtigungen
  • CWE-676: Verwendung einer potenziell gefährlichen Funktion
  • CWE-732: Falsche Berechtigungszuweisung für eine kritische Ressource
A9: Verwenden von Komponenten mit bekannten Sicherheitslücken Obwohl es einfach ist, bereits geschriebene Exploits für viele bekannte Schwachstellen zu finden, erfordern andere Sicherheitslücken intensive Bemühungen, um einen benutzerdefinierten Exploit zu entwickeln.
  • CWE-190: Ganzzahlüberlauf oder Wraparound
  • CWE-327: Verwendung eines fehlerhaften oder riskanten kryptografischen Algorithmus
  • CWE-759: Verwendung einer Einweg-Hashfunktion ohne Salt
Feedback senden