Lesen und beachten Sie die Automation Anywhere-Dokumentation

Automation 360

Inhalt schließen

Inhalte

Inhalt öffnen

Schutzmaßnahmen gegen häufige Schwachstellen

  • Aktualisiert: 2021/10/09
    • Automation 360 v.x
    • Erkunden
    • RPA Workspace

Schutzmaßnahmen gegen häufige Schwachstellen

Die Automation 360 Plattform bietet einige Schutzmaßnahmen gegen gängige Angriffe auf Anwendungen.

Die folgende Liste enthält einige Beispiele für diese Angriffe und die Sicherheitskontrollen, die zu ihrer Verhinderung eingesetzt werden.

SQL-Einschleusung (SQLi)

SQL-Injection ist eine hochriskante Schwachstelle, die die Vertraulichkeit, Integrität und Verfügbarkeit einer Datenbank ernsthaft beeinträchtigen kann. Sie ermöglicht es einem Angreifer, beliebiges SQL innerhalb der DB auszuführen und so sensible Daten zu lesen, Daten zu ändern/einzufügen und verschiedene Operationen auszuführen.

Die Control Room verhindert die SQL-Injektion mittels der vom Hibernate-Framework bereitgestellten Abfrage.

Cross-Site-Scripting (XSS)

Cross-Site-Scripting ist eine hochriskante Schwachstelle, die die Vertraulichkeit, Integrität und Verfügbarkeit von Websitzungen ernsthaft beeinträchtigen kann. Sie ermöglicht es einem Angreifer, jedes beliebige JavaScript im Browser des Opfers auszuführen und so die Ein- und Ausgaben des Benutzers auszuspionieren oder unbefugte Aktionen im Namen des Benutzers durchzuführen. Sie könnten den Benutzer auch zu einem bösartigen Malware-Download oder einer Phishing-Seite für Zugangsdaten umleiten.

Die Control Room verhindert Cross-Site-Scripting, indem es die vom ReactJS-Framework bereitgestellte automatische Ausgabekodierung nutzt.

OWASP Top 10

Automation Anywhere bietet die folgenden Kontrollen zum Schutz vor den OWASP Top 10:
Risiko Kontrolle
A1: Einspritzung Alle Eingaben werden vor der Ausführung von Befehlen oder Abfragen mit einem Escape-Effekt versehen.
A2: Fehlerhafte Authentifizierung und Sitzungsverwaltung Siehe den Abschnitt Identifizierung und Authentifizierung.
A3: Website-übergreifendes Scripting Alle Ausgaben werden kodiert, bevor sie zurückgegeben werden.
A4: Unsichere direkte Objektreferenzen Zentralisierte Autorisierung über Spring Security.
A5: Falsche Sicherheitskonfiguration Keine Standardpasswörter, versteckte Stack Traces, sichere Serverkonfiguration
A6: Gefährdung sensibler Daten Siehe die Abschnitte Sicherheit in Ruhe und Sicherheit in Bewegung
A7: Fehlende Zugriffskontrolle auf Funktionsebene Zentralisierte Autorisierung über Spring Security
A8: Cross-Site Request Forgery Autorisierungs-HTTP-Header verwenden
A9: Verwendung von Komponenten mit bekannten Sicherheitslücken Black Duck-Software zur Analyse der Zusammensetzung
A10: Ungültige Umleitungen und Weiterleitungen N/A - Keine Umleitungsfunktionalität vorhanden
Feedback senden