Defensas contra vulnerabilidades comunes
- Última actualización2021/10/09
Defensas contra vulnerabilidades comunes
La plataforma de Automation 360 ofrece algunas defensas contra los ataques comunes a las aplicaciones.
La siguiente lista contiene varios ejemplos de estos ataques y los controles de seguridad establecidos para evitarlos.
Inyección SQL (SQLi)
La inyección SQL es una vulnerabilidad de alto riesgo que puede afectar seriamente la confidencialidad, integridad y disponibilidad de una base de datos. Le permite a un atacante ejecutar cualquier SQL de su elección dentro de la base de datos, con lo que puede leer datos confidenciales, modificar o insertar datos y ejecutar varias operaciones.
Control Room evita la inyección SQL mediante consultas proporcionadas por el marco de trabajo de Hibernate.
Secuencias de comandos entre sitios (XSS)
El envío de secuencias de comandos entre sitios es una vulnerabilidad de alto riesgo que puede afectar seriamente la confidencialidad, integridad y disponibilidad de la sesión web de un usuario. Le permite a un atacante ejecutar cualquier JavaScript dentro del navegador de la víctima, con lo que puede espiar las entradas y salidas del usuario o realizar acciones no autorizadas en nombre del usuario. También podría redirigir al usuario fuera del sitio, hacia una descarga de malware malicioso o una página de phishing de credenciales.
Control Room evita el envío de secuencias de comandos entre sitios mediante la codificación de salida automática que proporciona el marco ReactJS.
10 vulnerabilidades más comunes de OWASP
Riesgo | Control |
---|---|
A1: Inyección | Todas las entradas se escapan antes de que se ejecuten comandos o consultas. |
A2: Autenticación interrumpida y administración de sesiones | Consulte la sección de identificación y autenticación. |
A3: Secuencias de comandos entre sitios | Todas las salidas se codifican antes de retornarse. |
A4: Referencias directas no seguras de objetos | Autorización centralizada mediante Spring Security. |
A5: Configuración de seguridad errónea | Sin contraseñas predeterminadas, seguimientos de pila ocultos, configuración segura del servidor |
A6: Exposición de datos confidenciales | Consulte las secciones Seguridad en reposo y Seguridad en movimiento |
A7: Falta de control de acceso en el nivel de función | Autorización centralizada mediante Spring Security. |
A8: Falsificación de solicitudes entre sitios | Uso del encabezado HTTP de autorización |
A9: Uso de componentes con vulnerabilidades conocidas | Herramienta de análisis de composición de software Black Duck |
A10: Redirecciones y reenvíos no validados | N/A - No existe ninguna funcionalidad de redireccionamiento |