Lea y revise la documentación de Automation Anywhere

Cerrar contenidos

Contenidos

Abrir contenidos

Siga las prácticas de codificación seguras

  • Actualizado: 5/10/2019
    • 11.3.x
    • Crear
    • Enterprise

Siga las prácticas de codificación seguras

Los desarrolladores de Bots deben asegurarse de que su código cumpla con las prácticas estándar de codificación segura, incluida la lógica del bot y el código C# escrito para los DLL.

La siguiente lista de controles de seguridad son generalmente aplicables y relevantes para la creación de bots.

Estas verificaciones corresponden a ciertas vulnerabilidades de software identificadas por el Proyecto de seguridad de aplicaciones web abiertas (OWASP), una organización sin fines de lucro centrada en mejorar la seguridad del software. Cada uno de los problemas de OWASP a continuación corresponden a ciertos elementos incluidos en el Enumeración de debilidad común (CWE), una lista de las vulnerabilidades de seguridad del software que pueden ocurrir en el desarrollo del software como lo proporciona MITRE, un grupo de investigación y desarrollo sin fines de lucro.

Los desarrolladores deben considerar prácticas de codificación seguras adicionales de acuerdo con las políticas de seguridad internas de sus entornos.

Problema de OWASP Descripción CWE correspondientes
A1: Inyección Casi cualquier fuente de datos puede ser un vector de inyección, variables de entorno, parámetros, servicios web externos e internos y todo tipo de usuarios. Los defectos de inyección ocurren cuando un atacante puede enviar datos hostiles a un intérprete.
  • CWE-78: Neutralización inadecuada de elementos especiales utilizados en un comando del sistema operativo ("Inyección de comandos del sistema operativo")
  • CWE-89: Inyección SQL
  • CWE-94: Inyección de código
  • CWE-434: Carga sin restricciones de archivo con tipo peligroso
  • CWE-494: Descarga del código sin verificación de integridad
  • CWE-829: Inclusión de la funcionalidad de la esfera de control no confiable

A2: Autenticación rota Los atacantes tienen acceso a cientos de millones de combinaciones válidas de nombre de usuario y contraseña para el relleno de credenciales, listas de cuentas administrativas predeterminadas, fuerza bruta automatizada y herramientas de ataque de diccionario. Los ataques de administración de sesión son bien conocidos, particularmente en relación con los tokens de sesión no vencidos.
  • CWE-306: Falta la autenticación para la función crítica
  • CWE-307: Restricción inadecuada de intentos de autenticación excesivos
  • CWE-798: Uso de credenciales codificadas de forma rígida
  • CWE-807: Dependencia en insumos no confiables en una decisión de seguridad
  • CWE-862: Autorización faltante
  • CWE-863: Autorización incorrecta
A3: Exposición de datos confidenciales En lugar de atacar directamente la criptografía, los atacantes roban claves, ejecutan ataques de tipo "man-in-the-middle" o roban datos de texto claros del servidor, mientras están en tránsito o desde el cliente del usuario, como un navegador. Por lo general, se requiere un ataque manual. Las unidades de procesamiento de gráficos (GPU) podrían forzar las bases de datos de contraseñas recuperadas anteriormente.
  • CWE-311: Falta el cifrado de datos confidenciales
  • CWE-319: Borrar texto de transmisión de información confidencial
A5: Control de acceso roto La explotación del control de acceso es una habilidad fundamental de los atacantes. Las herramientas de SAST y DAST pueden detectar la ausencia de control de acceso, pero no pueden verificar si es funcional cuando está presente. El control de acceso se puede detectar mediante medios manuales, o posiblemente mediante automatización para la ausencia de controles de acceso en determinados marcos.
  • CWE-73: Control externo del nombre de archivo o ruta de acceso
  • CWE-285: Autorización incorrecta
A6: Configuración de seguridad errónea Los atacantes a menudo intentarán explotar defectos sin parches o acceder a cuentas predeterminadas, páginas no utilizadas, archivos y directorios no protegidos, etc. para obtener acceso no autorizado o conocimiento del sistema.
  • CWE-250: Ejecución con privilegios innecesarios
  • CWE-676: Uso de la función potencialmente peligrosa
  • CWE-732: Asignación de permisos incorrecta para recursos críticos
A9: Uso de componentes con vulnerabilidades conocidas Si bien es fácil encontrar exploits ya escritos para muchas vulnerabilidades conocidas, otras vulnerabilidades requieren un esfuerzo concentrado para desarrollar un exploit personalizado.
  • CWE-190: Desbordamiento entero o Envolvente
  • CWE-327: Uso de un algoritmo criptográfico roto o riesgoso
  • CWE-759: Uso de un hash unidireccional sin un Salt
Enviar comentarios