공통 취약점에 대한 방어
- 최종 업데이트2021/10/09
공통 취약점에 대한 방어
Automation 360 플랫폼은 애플리케이션에 대한 일반적인 공격에 대해 방어를 제공합니다.
아래 목록에는 이러한 공격의 몇 가지 예와 이를 방지하기 위한 보안 통제가 포함되어 있습니다.
SQL 주입(SQLi)
SQL 주입은 데이터베이스의 기밀성, 무결성 및 가용성에 심각한 영향을 줄 수 있는 고위험 취약점입니다. 이를 통해 공격자는 DB 내에서 선택한 SQL을 실행할 수 있으므로 중요한 데이터를 읽고, 데이터를 수정/삽입하고, 다양한 작업을 실행할 수 있습니다.
Control Room은 동면 프레임워크가 제공하는 쿼리를 사용하여 SQL 주입을 방지합니다.
크로스 사이트 스크립팅(XSS)
크로스 사이트 스크립팅은 사용자 웹 세션의 기밀성, 무결성 및 가용성에 심각한 영향을 줄 수 있는 고위험 취약점입니다. 이를 통해 공격자는 피해자의 브라우저 내에서 JavaScript를 실행하여 사용자의 입력/출력을 감시하거나 사용자를 대신하여 무단으로 조치를 취할 수 있습니다. 또한 사용자를 오프사이트로 리디렉션하여 악성 맬웨어 다운로드 또는 자격증명 피싱 페이지로 리디렉션할 수도 있습니다.
Control Room은 ReactJS 프레임워크가 제공하는 자동 출력 인코딩을 사용하여 크로스 사이트 스크립팅을 방지합니다.
OWASP 톱 10
Automation Anywhere는 OWASP 톱 10을 보호하기 위해 다음과 같은 컨트롤을 제공합니다.
리스크 관리 | 제어 |
---|---|
A1: 주입 | 명령 또는 쿼리가 실행되기 전에 모든 입력이 이스케이프됩니다. |
A2: 깨진 인증 및 세션 관리 | 식별 및 인증 섹션 참조. |
A3: 크로스 사이트 스크립팅 | 반환되기 전에 모든 출력이 인코딩됩니다. |
A4: 비보안 직접 객체 참조 | Spring Security를 통한 중앙 집중식 권한 부여 |
A5: 보안 구성 오류 | 기본 암호 없음, 숨겨진 스택 흔적, 보안 서버 구성 |
A6: 민감한 데이터 노출 | 정지 시 보안 및 이동 중 보안 섹션 참조 |
A7: 기능 레벨 액세스 통제 누락 | Spring Security를 통한 중앙 집중식 권한 부여 |
A8: 교차 사이트 요청 위조 | 권한 부여 HTTP 헤더 사용 |
A9: 알려진 취약점이 있는 구성 요소 사용 | Black Duck 소프트웨어 조성 분석 도구 |
A10: 검증되지 않은 리디렉션 및 전달 | 해당 없음 - 리디렉션 기능이 존재하지 않음 |