Leggi e rivedi la documentazione di Automation Anywhere

Automation Anywhre Automation 360

Chiudi contenuti

Contenuti

Apri contenuti

Difese da vulnerabilità comuni

  • Aggiornato: 6/17/2019
    • Automation 360 v.x
    • Esplora
    • Spazio di lavoro RPA

Difese da vulnerabilità comuni

La piattaforma Automation Anywhere Enterprise fornisce una serie di difese contro attacchi comuni sulle applicazioni.

L'elenco riportato di seguito contiene diversi esempi di questi attacchi e dei controlli di sicurezza in atto per prevenirli.

SQL injection (SQLi)

SQL injection è una vulnerabilità ad alto rischio che può influire seriamente su riservatezza, integrità e disponibilità di un database. Consente a un utente malintenzionato di eseguire qualsiasi programma SQL di sua scelta all'interno del database, permettendogli di leggere dati sensibili, modificare/inserire dati ed eseguire varie operazioni.

Sala di controllo impedisce a un attacco SQL injection di utilizzare le query fornite dal framework Hibernate.

Cross-site scripting (XSS)

Il cross-site scripting è una vulnerabilità ad alto rischio che può influire seriamente su riservatezza, integrità e disponibilità della sessione Web di un utente. Consente a un utente malintenzionato di eseguire qualsiasi programma Javascript di sua scelta all'interno del browser della vittima, per spiare l'input/output dell'utente o di intraprendere azioni non autorizzate per conto dell'utente. Inoltre, può reindirizzare l'utente fuori dal sito a una pagina di download di malware dannoso o a una pagina di phishing delle credenziali.

Sala di controllo impedisce al cross-site scripting di utilizzare la codifica automatica dell'output fornita dal framework ReactJS.

OWASP Top 10

Automation Anywhere Enterprise fornisce i seguenti controlli per proteggerti da OWASP Top 10:
Rischio Controllo
A1: iniezione Tutti gli input vengono preceduti da caratteri di escape prima di eseguire i comandi o le query.
A2: autenticazione interrotta e gestione della sessione Vedi la sezione Identificazione e autenticazione.
A3: cross-site scripting Tutti gli output vengono codificati prima di essere restituiti.
A4: riferimenti a oggetti diretti non sicuri Autorizzazione centralizzata tramite Spring Security
A5: configurazione errata della sicurezza Nessuna password predefinita, analisi dello stack nascoste, configurazione del server protetta
A6: esposizione dei dati sensibili Vedi le sezioni "Sicurezza a riposo" e "Sicurezza in transito"
A7: controllo degli accessi a livello di funzione mancante Autorizzazione centralizzata tramite Spring Security
A8: falsificazione della richiesta corss-site Uso dell'intestazione HTTP di autorizzazione
A9: uso dei componenti con vulnerabilità note Strumento di analisi della composizione del software Black Duck
A10: reindirizzamenti e inoltri non convalidati N/D - Nessuna funzionalità di reindirizzamento presente
Invia feedback