Lea y revise la documentación de Automation Anywhere

Automation Anywhere Automation 360

Cerrar contenidos

Contenidos

Abrir contenidos

Defensas contra vulnerabilidades comunes

  • Actualizado: 2019/06/17

    Defensas contra vulnerabilidades comunes

    La plataforma de Automation Anywhere Enterprise ofrece algunas defensas contra los ataques comunes a las aplicaciones.

    La siguiente lista contiene varios ejemplos de estos ataques y los controles de seguridad establecidos para evitarlos.

    Inyección SQL (SQLi)

    La inyección SQL es una vulnerabilidad de alto riesgo que puede afectar seriamente la confidencialidad, integridad y disponibilidad de una base de datos. Le permite a un atacante ejecutar cualquier SQL de su elección dentro de la base de datos, con lo que puede leer datos confidenciales, modificar o insertar datos y ejecutar varias operaciones.

    Control Room evita la inyección SQL mediante consultas proporcionadas por el marco de trabajo de Hibernate.

    Secuencias de comandos entre sitios (XSS)

    El envío de secuencias de comandos entre sitios es una vulnerabilidad de alto riesgo que puede afectar seriamente la confidencialidad, integridad y disponibilidad de la sesión web de un usuario. Le permite a un atacante ejecutar cualquier JavaScript dentro del navegador de la víctima, con lo que puede espiar las entradas y salidas del usuario o realizar acciones no autorizadas en nombre del usuario. También podría redirigir al usuario fuera del sitio, hacia una descarga de malware malicioso o una página de phishing de credenciales.

    Control Room evita el envío de secuencias de comandos entre sitios mediante la codificación de salida automática que proporciona el marco ReactJS.

    10 vulnerabilidades más comunes de OWASP

    Automation Anywhere Enterprise proporciona los siguientes controles para protegerlo contra las 10 vulnerabilidades más comunes de OWASP:
    Riesgo Control
    A1: Inyección Todas las entradas se escapan antes de que se ejecuten comandos o consultas.
    A2: Autenticación interrumpida y administración de sesiones Consulte la sección de identificación y autenticación.
    A3: Secuencias de comandos entre sitios Todas las salidas se codifican antes de retornarse.
    A4: Referencias directas no seguras de objetos Autorización centralizada mediante Spring Security.
    A5: Configuración de seguridad errónea Sin contraseñas predeterminadas, seguimientos de pila ocultos, configuración segura del servidor
    A6: Exposición de datos confidenciales Consulte las secciones Seguridad en reposo y Seguridad en movimiento
    A7: Falta de control de acceso en el nivel de función Autorización centralizada mediante Spring Security.
    A8: Falsificación de solicitudes entre sitios Uso del encabezado HTTP de autorización
    A9: Uso de componentes con vulnerabilidades conocidas Herramienta de análisis de composición de software Black Duck
    A10: Redirecciones y reenvíos no validados N/A - No existe ninguna funcionalidad de redireccionamiento
    Enviar comentarios