一般的な脆弱性に対する防御
- 更新日 2019/09/05
一般的な脆弱性に対する防御
Automation Anywhere Enterprise プラットフォームは、アプリケーションへの一般的な攻撃に対する防御機能を提供します。
以下の一覧には、数多くの攻撃例と、これらから防御するためのセキュリティ制御が含まれています。
SQL インジェクション (SQLi)
SQL インジェクションは、データベースの機密性、整合性、可用性に深刻な影響を与える可能性があるリスクの高い脆弱性です。これにより、攻撃者は DB 内で選択した SQL を実行できるようになるため、機密データの読み取り、データの変更/挿入、ならびにさまざまな操作が実行可能になります。
Control Room は、Hibernate フレームワークが提供するクエリを使用して SQL インジェクションを防ぎます。
クロスサイト スクリプティング (XSS)
クロスサイト スクリプティングは、ユーザーの Web セッションの機密性、整合性、可用性に深刻な影響を与える可能性があるリスクの高い脆弱性です。これにより、攻撃者は被害者のブラウザ内で JavaScript を実行できるため、ユーザーの入力/出力をスパイする、あるいはユーザーに代わって不正な操作を実行できます。また、ユーザーを悪意のあるマルウェアのダウンロード ページや、資格情報のフィッシング ページに離れた場所からリダイレクトできます。
Control Room は、ReactJS フレームワークが提供する自動出力エンコーディングを使用して、クロスサイト スクリプティングを防止します。
OWASP Top 10
Automation Anywhere Enterprise は OWASP Top 10 に入る脆弱性から保護するため、次の方法を提供します。| リスク | コントロール |
|---|---|
| A1: インジェクション | すべての入力は、コマンドまたはクエリが実行される前にエスケープされます。 |
| A2: 認証とセッション管理の不備 | 識別と認証セクションをご覧ください。 |
| A3: クロスサイト スクリプティング | すべての出力は、返される前にエンコードされます。 |
| A4: 安全でないオブジェクト直接参照 | スプリング セキュリティによる一元的な承認です。 |
| A5: 不適切なセキュリティ設定 | デフォルトのパスワードなし、スタックトレースが非表示、安全でないサーバー構成です |
| A6: 機密データの露出 | 静止データのセキュリティおよび転送データのセキュリティのセクションをご覧ください |
| A7: 機能レベルアクセス制御の欠落 | スプリング セキュリティによる一元的な承認です |
| A8: クロスサイト リクエスト フォージェリ | Authorization HTTP ヘッダーを使用しています |
| A9: 既知の脆弱性を持つコンポーネントの使用 | Black Duck ソフトウェア構成解析ツールです |
| A10: 未検証のリダイレクトと転送 | N/A - リダイレクト機能が存在しません |