Automation Anywhere 설명서 읽기 및 검토

Automation Anywhere

콘텐츠 닫기

콘텐츠

콘텐츠 열기

보안 코딩 관행 따르기

  • 업데이트: 5/10/2019
    • 11.3.x
    • 구축
    • Enterprise

보안 코딩 관행 따르기

개발자는 코드가 DLL용으로 작성된 봇 로직 및 C# 코드를 비롯한 표준 보안 코딩 관행을 따라야 합니다.

다음 보안 검사 목록은 일반적으로 적용 가능하며 생성과 관련 있습니다.

이러한 검사는 소프트웨어 보안 개선에 중점을 둔 비영리 조직인 OWASP(Open Web Application Security Project)에서 식별한 특정 소프트웨어 취약점에 해당합니다. 아래의 각 OWASP 문제는 비영리 연구 및 개발 그룹인 MITRE에서 제공하는 소프트웨어 개발에서 발생할 수 있는 소프트웨어 보안 취약점 목록인 CWE(Common Weakness Enumeration)에 포함된 특정 항목에 해당합니다.

개발자는 환경의 내부 보안 정책에 따라 추가 보안 코딩 방법을 고려해야 합니다.

OWASP 문제 셜명 해당 CWE
A1: 주입 대부분의 데이터 소스는 주입 벡터, 환경 변수, 매개변수, 외부 및 내부 웹 서비스 및 모든 유형의 사용자가 될 수 있습니다. 공격자가 인터프리터에 적대적인 데이터를 보낼 수 있을 때 주입 결함이 발생합니다.
  • CWE-78: OS 명령에 사용되는 특수 요소의 부적절한 중화('OS 명령 주입')
  • CWE-89: SQL 주입
  • CWE-94: 코드 주입
  • CWE-434: 위험한 유형의 파일 무제한 업로드
  • CWE-494: 무결성 검사 없이 코드 다운로드
  • CWE-829: 신뢰할 수 없는 제어 영역의 기능 포함

A2: 취약한 인증 공격자는 자격증명 채우기, 기본 관리 계정 목록, 자동 무차별적 공격 및 사전 공격 도구에 대한 수억 개의 유효한 사용자 이름 및 비밀번호 조합에 액세스할 수 있습니다. 세션 관리 공격은 특히 만료되지 않은 세션 토큰과 관련하여 잘 알려져 있습니다.
  • CWE-306: 중요 기능에 대한 인증 누락
  • CWE-307: 과도한 인증 시도의 부적절한 제한
  • CWE-798: 하드 코딩된 자격증명 사용
  • CWE-807: 보안 결정에서 신뢰할 수 없는 입력에 대한 의존
  • CWE-862: 누락된 인증
  • CWE-863: 잘못된 인증
A3: 민감한 데이터 노출 공격자는 암호화를 직접 공격하는 대신 키를 훔치거나, 중간자 공격을 실행하거나, 서버에서 전송 중이거나 브라우저와 같은 사용자의 클라이언트에 있는 평문 데이터를 도용합니다. 일반적으로 수동 공격이 필요합니다. 이전에 검색된 비밀번호 데이터베이스는 GPU(그래픽 처리 장치)에 의해 무차별적 공격을 받을 수 있습니다.
  • CWE-311: 민감한 데이터의 암호화 누락
  • CWE-319: 민감한 정보의 평문 전송
A5: 취약한 액세스 제어 액세스 제어의 악용은 공격자의 핵심 기술입니다. SASTDAST 도구는 액세스 제어의 부재를 감지할 수 있지만, 액세스 제어가 있을 때 제어가 작동하는지는 확인할 수 없습니다. 액세스 제어는 수동 방법을 사용하여 검색하거나 특정 프레임워크에서 액세스 제어가 없는 경우 자동화를 통해 검색할 수 있습니다.
  • CWE-73: 파일 이름 또는 경로의 외부 제어
  • CWE-285: 부적절한 인증
A6: 보안 구성 오류 공격자는 종종 패치가 적용되지 않은 결함을 악용하거나 기본 계정, 사용되지 않은 페이지, 보호되지 않은 파일 및 디렉토리 등에 액세스하여 시스템에 대한 무단 액세스 또는 지식을 얻으려고 시도합니다.
  • CWE-250: 불필요한 권한으로 실행
  • CWE-676: 잠재적으로 위험한 기능 사용
  • CWE-732: 중요 리소스에 대한 잘못된 권한 할당
A9: 알려진 취약점이 있는 구성 요소 사용 알려진 많은 취약점에 대해 이미 작성된 악용을 쉽게 찾을 수 있지만 다른 취약점에는 사용자 지정 악용을 개발하기 위한 집중적인 노력이 필요합니다.
  • CWE-190: 정수 오버플로 또는 랩어라운드
  • CWE-327: 취약하거나 위험한 암호화 알고리즘 사용
  • CWE-759: 솔트 없이 일방향 해시 사용
피드백을 보내주십시오