Lea y revise la documentación de Automation Anywhere

Automation 360

Cerrar contenidos

Contenidos

Abrir contenidos

Defensas contra las vulnerabilidades más comunes

  • Actualizado: 2021/10/09
    • Automation 360 v.x
    • Explorar
    • Espacio de trabajo de RPA

Defensas contra las vulnerabilidades más comunes

La plataforma Automation 360 plataforma proporciona algunas defensas contra ataques comunes a las aplicaciones.

La siguiente lista contiene varios ejemplos de estos ataques y los controles de seguridad establecidos para evitarlos.

Inyección SQL (SQLi)

La inyección SQL es una vulnerabilidad de alto riesgo que puede afectar gravemente a la confidencialidad, integridad y disponibilidad de una base de datos. Permite a un atacante ejecutar cualquier SQL de su elección dentro de la BD, permitiéndole así leer datos sensibles, modificar/insertar datos y ejecutar diversas operaciones.

La página web Control Room evita la inyección SQL mediante la consulta proporcionada por el marco de trabajo de Hibernate.

Cross Site Scripting (XSS)

El cross-site scripting es una vulnerabilidad de alto riesgo que puede afectar seriamente a la confidencialidad, integridad y disponibilidad de cualquier sesión web del usuario. Permite a un atacante ejecutar cualquier JavaScript dentro del navegador de la víctima, lo que le permite espiar la entrada/salida del usuario o realizar acciones no autorizadas en su nombre. También podrían redirigir al usuario fuera del sitio a una descarga de malware malicioso o a una página de phishing de credenciales.

El sitio Control Room evita el cross-site scripting mediante la codificación automática de la salida que proporciona el framework ReactJS.

OWASP Top 10

Automation Anywhere proporciona los siguientes controles para proteger contra el OWASP Top 10:
Riesgo Controlar
A1: Inyección Todas las entradas se escapan antes de que se ejecuten los comandos o las consultas.
A2: Autenticación y gestión de sesiones rotas Véase la sección de identificación y autentificación.
A3: Secuencia de comandos en el sitio web Toda la salida se codifica antes de ser devuelta.
A4: Referencias directas a objetos inseguros Autorización centralizada a través de Spring Security.
A5: Mala configuración de la seguridad No hay contraseñas por defecto, rastros de pila ocultos, configuración segura del servidor
A6: Exposición de datos sensibles Consulte las secciones Seguridad en reposo y Seguridad en movimiento
A7: Falta el control de acceso a nivel de función Autorización centralizada mediante Spring Security
A8: Falsificación de solicitudes en sitios cruzados Uso de la cabecera HTTP de autorización
A9: Uso de componentes con vulnerabilidades conocidas Herramienta de análisis de la composición del software Black Duck
A10: Redirecciones y reenvíos no validados N/A - No hay funcionalidad de redireccionamiento
Enviar comentarios