La plateforme Automation 360 fournit un certain nombre de défenses contre les attaques courantes sur les applications.

La liste ci-dessous contient plusieurs exemples de ces attaques et des contrôles de sécurité mis en place pour les prévenir.

Injection de SQL (SQLi)

L'injection de SQL est une vulnérabilité à haut risque qui peut avoir de graves répercussions sur la confidentialité, l'intégrité et la disponibilité d'une base de données. Elle permet à un attaquant d'exécuter n'importe quel SQL de son choix à l'intérieur de la base de données, ce qui lui donne la possibilité de lire des données sensibles, de modifier/d'insérer des données et d'exécuter diverses opérations.

La Control Room empêche l'injection de SQL en utilisant la requête fournie par le framework Hibernate.

Scriptage intersite (XSS)

Le scriptage intersite constitue une vulnérabilité à haut risque qui peut avoir de graves répercussions sur la confidentialité, l'intégrité et la disponibilité de toute session Web d'utilisateur. Il permet à un attaquant d'exécuter n'importe quel JavaScript à l'intérieur du navigateur de la victime, ce qui lui donne la possibilité d'espionner les entrées et sorties de l'utilisateur ou d'effectuer des actions non autorisées au nom de l'utilisateur. Les attaquants peuvent également rediriger l'utilisateur hors site vers une page de téléchargement de logiciels malveillants ou d'hameçonnage d'informations d'identification.

La Control Room empêche le scriptage intersite grâce à un codage automatique de sortie fourni par le framework ReactJS.

10 risques principaux établis par l'OWASP

Automation Anywhere fournit les contrôles suivants pour se protéger contre les 10 risques principaux établis par l'OWASP :

RisqueContrôler
A1 : Injection Toutes les entrées sont échappées avant l'exécution des commandes ou des requêtes.
A2 : Authentification rompue et gestion de sessions Consultez la section Identification et authentification.
A3 : Scriptage intersite Toutes les sorties sont encodées avant d'être renvoyées.
A4 : Références d'objets directs non sécurisées Autorisation centralisée via Sprint Security
A5 : Mauvaise configuration de sécurité Aucun mot de passe par défaut, traces de pile cachées, configuration de serveur sécurisée
A6 : Exposition des données sensibles Voir les sections « Sécurité au repos » et « Sécurité en mouvement »
A7 : Contrôle d'accès manquant au niveau d'une fonction Autorisation centralisée via Sprint Security
A8 : Contrefaçon de demande intersite Utilisation de l'en-tête HTTP d'autorisation
A9 : Utilisation de composants présentant des vulnérabilités connues Outil d'analyse de composition logicielle Black Duck
A10 : Redirections et transferts non validés S/O - Aucune fonctionnalité de redirection présente