Lea y revise la documentación de Automation Anywhere

Cerrar contenidos

Contenidos

Abrir contenidos

Defensas contra vulnerabilidades comunes

  • Actualizado: 5/10/2019
    • 11.3.x
    • Explorar
    • Enterprise

Defensas contra vulnerabilidades comunes

La plataforma de AAE ofrece una serie de defensas contra los ataques comunes a las aplicaciones. La siguiente lista contiene varios ejemplos de estos ataques y los controles de seguridad establecidos para evitarlos.

Inyección de SQL (SQLi)

La inyección de SQL es una vulnerabilidad de alto riesgo que puede afectar seriamente la confidencialidad, integridad y disponibilidad de una base de datos. Le permite a un atacante ejecutar cualquier SQL de su elección dentro de la base de datos, con lo que puede leer datos confidenciales, modificar o insertar datos y ejecutar varias operaciones.

Control Room evita la inyección de SQL mediante la parametrización de consultas proporcionada por el marco de trabajo de Hibernate.

Secuencias de comandos entre sitios (XSS)

El envío de secuencias de comandos entre sitios es una vulnerabilidad de alto riesgo que puede afectar seriamente la confidencialidad, integridad y disponibilidad de la sesión web de un usuario. Le permite a un atacante ejecutar cualquier JavaScript de su elección dentro del navegador de la víctima, con lo que puede espiar las entradas y salidas del usuario o realizar acciones no autorizadas en nombre del usuario. También podría redirigir al usuario fuera del sitio, hacia una descarga de malware malicioso o una página de phishing de credenciales.

Control Room evita el envío de secuencias de comandos entre sitios mediante la codificación de salida automática proporcionada por el marco ReactJS.

Lista de las 10 vulnerabilidades más comunes de OWASP

AAE proporciona los siguientes controles para protegerlo contra las 10 vulnerabilidades más comunes publicadas por OWASP:

Riesgo Control
A1 - Inyección Todas las entradas se escapan antes de que se ejecuten comandos o consultas
A2 - Autenticación interrumpida y administración de sesiones Consulte la sección de Identificación y autenticación
A3 - Secuencias de comandos entre sitios Todas las salidas se codifican antes de devolverse
A4 - Referencias directas inseguras de objetos Autorización centralizada mediante Spring Security
A5 - Configuración de seguridad errónea Sin contraseñas predeterminadas, seguimientos de pila ocultos, configuración segura del servidor
A6 - Exposición de datos confidenciales Consulte las secciones "Seguridad en reposo" y "Seguridad en movimiento"
A7 - Falta de control de acceso a nivel de función Autorización centralizada mediante Spring Security
A8 - Falsificación de solicitudes entre sitios Uso del encabezado HTTP de autorización
A9 - Uso de componentes con vulnerabilidades conocidas Herramienta de análisis de composición de software Black Duck
A10 - Redirecciones y reenvíos no validados N/A - No existe ninguna funcionalidad de redireccionamiento
Enviar comentarios