Lire et examiner la documentation Automation Anywhere

Fermer les contenus

Contenus

Ouvrir les contenus

Défenses contre les vulnérabilités courantes

  • Mis à jour le : 5/10/2019
    • 11.3.x
    • Exploration
    • Enterprise

Défenses contre les vulnérabilités courantes

La plateforme AAE fournit un certain nombre de défenses contre les attaques courantes sur les applications. La liste ci-dessous contient plusieurs exemples de ces attaques et des contrôles de sécurité mis en place pour les prévenir.

Injection de SQL (SQLi)

L'injection de SQL est une vulnérabilité à haut risque qui peut avoir de graves répercussions sur la confidentialité, l'intégrité et la disponibilité d'une base de données. Elle permet à un attaquant d'exécuter n'importe quel SQL de son choix à l'intérieur de la base de données, ce qui lui donne la possibilité de lire des données sensibles, de modifier/d'insérer des données et d'exécuter diverses opérations.

La Control Room empêche l'injection de SQL en utilisant la paramétrisation de requête fournie par le framework Hibernate.

Scripts intersites (XSS)

Les scripts intersites constituent une vulnérabilité à haut risque qui peut avoir de graves répercussions sur la confidentialité, l'intégrité et la disponibilité d'une session Web pour les utilisateurs. Elle permet à un attaquant d'exécuter n'importe quel JavaScript de son choix à l'intérieur du navigateur de la victime, ce qui lui donne la possibilité d'espionner les entrées et sorties de l'utilisateur ou d'effectuer des actions non autorisées au nom de l'utilisateur. Les attaquants peuvent également rediriger l'utilisateur hors site vers une page de téléchargement de logiciels malveillants ou d'hameçonnage d'informations d'identification.

La Control Room empêche les scripts intersites à l'aide d'un codage automatique de sortie fourni par le framework ReactJS.

10 risques principaux établis par l'OWASP

AAE fournit les contrôles suivants pour se protéger contre les 10 risques principaux établis par l'OWASP :

Risque Contrôler
A1 – Injection Toutes les entrées sont échappées avant l'exécution des commandes ou des requêtes
A2 – Authentification rompue et gestion de sessions Voir la section Identification et authentification
A3 – Scripts intersites Toutes les sorties sont encodées avant d'être renvoyées
A4 – Références d'objets directs non sécurisées Autorisation centralisée via Sprint Security
A5 – Mauvaise configuration de sécurité Aucun mot de passe par défaut, traces de pile cachées, configuration de serveur sécurisée
A6 – Exposition aux données sensibles Voir les sections « Sécurité au repos » et « Sécurité en mouvement »
A7 – Contrôle d'accès manquant au niveau d'une fonction Autorisation centralisée via Sprint Security
A8 – Contrefaçon de demande intersite Utilisation de l'en-tête HTTP d'autorisation
A9 – Utilisation de composants présentant des vulnérabilités connues Outil d'analyse de composition logicielle Black Duck
A10 – Redirections et transferts non validés S/O - Aucune fonctionnalité de redirection présente
Envoyer le commentaire