Abwehrmaßnahmen im Hinblick auf häufige Sicherheitslücken
- Zuletzt aktualisiert2021/10/09
Die Automation 360-Plattform bietet einige Abwehrmaßnahmen gegen häufige Angriffe auf Anwendungen.
Die folgende Liste enthält einige Beispiele für diese Angriffe und die Sicherheitskontrollen, die sie verhindern sollen.
SQL Injection (SQLi)
SQL Injection ist eine Sicherheitslücke mit hohem Risiko, die die Vertraulichkeit, Integrität und Verfügbarkeit einer Datenbank ernsthaft beeinträchtigen kann. Sie ermöglicht einem Angreifer, eine beliebige SQL-Anweisung seiner Wahl innerhalb der Datenbank auszuführen, sodass er sensible Daten lesen, Daten ändern/einfügen und verschiedene Vorgänge ausführen kann.
Der Control Room verhindert SQL Injection mithilfe von Abfragen, die vom Hibernate-Framework bereitgestellt werden.
Cross-Site-Scripting (XSS)
Cross-Site-Scripting stellt eine Sicherheitslücke mit hohem Risiko dar, die die Vertraulichkeit, Integrität und Verfügbarkeit einer beliebigen Nutzerwebsitzung ernsthaft beeinträchtigen kann. Sie ermöglicht einem Angreifer, JavaScript im Browser des Opfers auszuführen, sodass er die Eingabe/Ausgabe des Nutzers ausspionieren oder nicht autorisierte Aktionen im Namen des Nutzers ausführen kann. Der Angreifer kann den Nutzer auch offsite zum Download bösartiger Malware oder zu einer Seite für Anmeldedaten-Phishing umleiten.
Der Control Room verhindert Cross-Site-Scripting mithilfe der automatischen Ausgabeverschlüsselung, die vom ReactJS-Framework bereitgestellt wird.
OWASP Top 10
| reduzieren | Kontrolle |
|---|---|
| A1: Injection | Alle Eingaben werden durch Escapezeichen geschützt, bevor Befehle oder Abfragen ausgeführt werden. |
| A2: Fehlerhafte Authentifizierung und Sitzungsverwaltung | Einzelheiten finden Sie im Abschnitt „Identifizierung und Authentifizierung“. |
| A3: Cross-Site-Scripting | Alle Ausgaben werden codiert, bevor sie zurückgegeben werden. |
| A4: Unsichere direkte Objektreferenzen | Zentrale Autorisierung über Spring Security. |
| A5: Fehlerhafte Sicherheitskonfiguration | Keine Standardkennwörter, Stapelüberwachungen ausgeblendet, sichere Serverkonfiguration. |
| A6: Offenlegung sensibler Daten | Einzelheiten finden Sie in den Abschnitten „Sicherheit im Ruhezustand“ und „Sicherheit während der Übertragung“. |
| A7: Fehlende Zugriffssteuerung auf Funktionsebene | Zentrale Autorisierung über Spring Security. |
| A8: Websiteübergreifende Anforderungsfälschung | Verwenden des Autorisierungs-HTTP-Headers |
| A9: Verwenden von Komponenten mit bekannten Sicherheitslücken | Black Duck Software-Zusammensetzungsanalyse-Tool |
| A10: Nicht validierte Um- und Weiterleitungen | N/A – Keine Umleitungsfunktionalität vorhanden |