Lesen und beachten Sie die Automation Anywhere-Dokumentation

Automation Anywhere

Inhalt schließen

Inhalte

Inhalt öffnen

Abwehrmaßnahmen im Hinblick auf Sicherheitslücken

  • Aktualisiert: 5/10/2019
    • 11.3.x
    • Erkunden
    • Enterprise

Abwehrmaßnahmen im Hinblick auf Sicherheitslücken

Die AAE-Plattform bietet eine Reihe von Abwehrmaßnahmen gegen häufige Angriffe auf Anwendungen. Die folgende Liste enthält einige Beispiele für diese Angriffe und die Sicherheitskontrollen, die sie verhindern sollen.

SQL Injection (SQLi)

SQL Injection ist eine Sicherheitslücke mit hohem Risiko, die die Vertraulichkeit, Integrität und Verfügbarkeit einer Datenbank ernsthaft beeinträchtigen kann. Sie ermöglicht einem Angreifer, eine beliebige SQL-Anweisung seiner Wahl innerhalb der Datenbank auszuführen, so dass er sensible Daten lesen, Daten ändern/einfügen und verschiedene Vorgänge ausführen kann.

Der Control Room verhindert SQL Injection mithilfe der Abfrageparametrisierung, die vom Hibernate-Framework bereitgestellt wird.

Cross Site Scripting (XSS)

Cross Site Scripting stellt eine Sicherheitslücke mit hohem Risiko dar, die die Vertraulichkeit, Integrität und Verfügbarkeit einer Nutzerwebsitzung ernsthaft beeinträchtigen kann. Sie ermöglicht einem Angreifer, JavaScript seiner Wahl innerhalb des Browsers des Opfers auszuführen, so dass er die Eingabe/Ausgabe des Nutzers ausspionieren oder nicht autorisierte Aktionen im Namen des Nutzers ausführen kann. Der Angreifer kann den Nutzer auch offsite zum Download bösartiger Malware oder zu einer Seite für Anmeldedaten-Phishing umleiten.

Der Control Room verhindert Cross Site Scripting mithilfe der automatischen Ausgabecodierung, die vom ReactJS-Framework bereitgestellt wird.

OWASP Top 10

AAE bietet die folgenden Steuerelemente zum Schutz vor den Top 10 von OWASP:

Risiko Steuern
A1 – Injection Alle Eingaben werden durch Escapezeichen geschützt, bevor Befehle oder Abfragen ausgeführt werden.
A2 – Fehlerhafte Authentifizierung und Sitzungsverwaltung Einzelheiten finden Sie im Abschnitt „Identifizierung und Authentifizierung“.
A3 – Cross Site Scripting Alle Ausgaben werden codiert, bevor sie zurückgegeben werden.
A4 – Unsichere direkte Objektreferenzen Zentrale Autorisierung über Spring Security
A5 – Fehlerhafte Sicherheitskonfiguration Keine Standardkennwörter, Stapelüberwachungen ausgeblendet, sichere Serverkonfiguration
A6 – Offenlegung sensibler Daten Einzelheiten finden Sie in den Abschnitten „Sicherheit im Ruhezustand“ und „Sicherheit während der Übertragung“.
A7 – Fehlende Zugriffssteuerung auf Funktionsebene Zentrale Autorisierung über Spring Security
A8 – Websiteübergreifende Anforderungsfälschung Verwenden des Autorisierungs-HTTP-Headers
A9 – Verwenden von Komponenten mit bekannten Sicherheitslücken Black Duck Software-Zusammensetzungsanalyse-Tool
A10 – Nicht validierte Um- und Weiterleitung N/A – Keine Umleitungsfunktionalität vorhanden
Feedback senden