Difese da vulnerabilità comuni
La piattaforma Automation Anywhere Enterprise fornisce una serie di difese contro attacchi comuni sulle applicazioni.
L'elenco riportato di seguito contiene diversi esempi di questi attacchi e dei controlli di sicurezza in atto per prevenirli.
SQL injection (SQLi)
SQL injection è una vulnerabilità ad alto rischio che può influire seriamente su riservatezza, integrità e disponibilità di un database. Consente a un utente malintenzionato di eseguire qualsiasi programma SQL di sua scelta all'interno del database, permettendogli di leggere dati sensibili, modificare/inserire dati ed eseguire varie operazioni.
Sala di controllo impedisce a un attacco SQL injection di utilizzare le query fornite dal framework Hibernate.
Cross-site scripting (XSS)
Il cross-site scripting è una vulnerabilità ad alto rischio che può influire seriamente su riservatezza, integrità e disponibilità della sessione Web di un utente. Consente a un utente malintenzionato di eseguire qualsiasi programma Javascript di sua scelta all'interno del browser della vittima, per spiare l'input/output dell'utente o di intraprendere azioni non autorizzate per conto dell'utente. Inoltre, può reindirizzare l'utente fuori dal sito a una pagina di download di malware dannoso o a una pagina di phishing delle credenziali.
Sala di controllo impedisce al cross-site scripting di utilizzare la codifica automatica dell'output fornita dal framework ReactJS.
OWASP Top 10
| Rischio | Controllo |
|---|---|
| A1: iniezione | Tutti gli input vengono preceduti da caratteri di escape prima di eseguire i comandi o le query. |
| A2: autenticazione interrotta e gestione della sessione | Vedi la sezione Identificazione e autenticazione. |
| A3: cross-site scripting | Tutti gli output vengono codificati prima di essere restituiti. |
| A4: riferimenti a oggetti diretti non sicuri | Autorizzazione centralizzata tramite Spring Security |
| A5: configurazione errata della sicurezza | Nessuna password predefinita, analisi dello stack nascoste, configurazione del server protetta |
| A6: esposizione dei dati sensibili | Vedi le sezioni "Sicurezza a riposo" e "Sicurezza in transito" |
| A7: controllo degli accessi a livello di funzione mancante | Autorizzazione centralizzata tramite Spring Security |
| A8: falsificazione della richiesta corss-site | Uso dell'intestazione HTTP di autorizzazione |
| A9: uso dei componenti con vulnerabilità note | Strumento di analisi della composizione del software Black Duck |
| A10: reindirizzamenti e inoltri non convalidati | N/D - Nessuna funzionalità di reindirizzamento presente |