Lire et examiner la documentation Automation Anywhere

Fermer les contenus

Contenus

Ouvrir les contenus

Suivre des pratiques de codage sécurisées

  • Mis à jour le : 5/10/2019
    • 11.3.x
    • Création
    • Enterprise

Suivre des pratiques de codage sécurisées

Les développeurs de Robot doivent veiller à ce que leur code respecte les pratiques de codage sécurisées standard, notamment la logique de robot et le code C# écrit pour les DLL.

La liste suivante des contrôles de sécurité s'applique généralement et est pertinente pour la création de robot :.

Ces contrôles correspondent à certaines vulnérabilités logicielles identifiées par l'OWASP, une organisation à but non lucratif axée sur l'amélioration de la sécurité logicielle. Chacune des préoccupations de l'OWASP ci-dessous correspondent à certains éléments inclus dans Common Weakness Enumeration (CWE), qui représente une liste des vulnérabilités de sécurité logicielle qui peuvent survenir dans le cadre du développement logiciel comme indiqué par MITRE, un groupe de recherche et développement à but non lucratif.

Les développeurs doivent tenir compte de pratiques de codage sécurisées supplémentaires conformément aux politiques de sécurité internes de leurs environnements.

Préoccupation de l'OWASP Description CWE correspondantes
A1 : injection Quasiment toute source de données peut être un vecteur d'injection : variables d'environnement, paramètres, services Web internes et externes et tout type d'utilisateurs. Des failles d'injection surviennent lorsqu'un attaquant peut envoyer des données hostiles à un interprète.
  • CWE-78 : Neutralisation incorrecte des éléments spéciaux utilisés dans une commande OS ('Injection de commandes OS')
  • CWE-89 : Injection SQL
  • CWE-94 : Injection de code
  • CWE-434 : Chargement non restreint d'un fichier de type dangereux
  • CWE-494 : Téléchargement de code sans contrôle d'intégrité
  • CWE-829 : Inclusion de fonctionnalité provenant de la sphère de contrôle non sécurisée

A2 : Authentification rompue Les attaquants ont accès à des centaines de millions de combinaisons de nom d'utilisateur et de mot de passe valides pour les attaques par bourrage d'identifiants, listes de compte administratif par défaut, par la manière forte automatisée et par dictionnaire. Les attaques de gestion de session sont bien claires, notamment par rapport aux jetons de session non expirés.
  • CWE-306 : Absence d'authentification pour une fonction critique
  • CWE-307 : Restriction inappropriée d'un nombre excessif de tentatives d'authentification
  • CWE-798 : Utilisation de données d'identification codées en dur
  • CWE-807 : Prise de décision en matière de sécurité fondée sur des entrées non fiables
  • CWE-862 : Autorisation manquante
  • CWE-863 : Autorisation incorrecte
A3 : Exposition aux données sensibles Plutôt que d'attaquer directement le chiffrement, les attaquants dérobent des clés, exécutent des attaques avec intermédiaire ou dérobent des données de texte clair du serveur pendant le transit ou depuis le client de l'utilisateur, comme un navigateur. Une attaque manuelle est généralement nécessaire. Les bases de données avec mot de passe récupéré précédemment pourraient faire l'objet d'une attaque par la manière forte via les unités de traitement graphique.
  • CWE-311 : Absence de chiffrement pour les données sensibles
  • CWE-319 : Transmission en clair d'informations sensibles
A5 : Contrôle d'accès rompu L'exploitation du contrôle d'accès est une compétence de base des attaquants. Les outils SAST et DAST peuvent détecter l'absence de contrôle d'accès, mais ne peut pas vérifier s'il est fonctionnel lorsqu'il est présent. Le contrôle d'accès est détectable par des moyens manuels, ou éventuellement par automatisation pour l'absence des contrôles d'accès dans certains cadres.
  • CWE-73 : Contrôle externe d'un nom de fichier ou chemin
  • CWE-285 : Autorisation incorrecte
A6 : Mauvaise configuration de sécurité Les attaquants essaieront souvent d'exploiter les failles non corrigées ou d'accéder aux comptes par défaut, pages inutilisées, fichiers et répertoires non protégés, etc. pour obtenir un accès non autorisé ou des informations du système.
  • CWE-250 : Exécution avec des privilèges inutiles
  • CWE-676 : Utilisation d'une fonction potentiellement dangereuse
  • CWE-732 : Octroi de permission non sécurisée sur une ressource clé du programme
A9 : Utilisation de composants présentant des vulnérabilités connues Bien qu'il soit facile de trouver des exploits déjà écrits pour de nombreuses vulnérabilités connues, d'autres vulnérabilités nécessitent un effort particulier pour développer un exploit personnalisé.
  • CWE-190 : Dépassement ou bouclage d'entier
  • CWE-327 : Utilisation d'un mécanisme de chiffrement risqué ou compromis
  • CWE-759 : Utilisation d'un hachage à sens unique sans sel de cryptage
Envoyer le commentaire