Leia e revise a documentação do Automation Anywhere

Automation Anywhere Automation 360

Fechar conteúdo

Contents (Conteúdo)

Abrir conteúdo

Defesas contra vulnerabilidades comuns

  • Atualizado: 6/17/2019
    • Automation 360 v.x
    • Explorar
    • Espaço de trabalho RPA

Defesas contra vulnerabilidades comuns

A plataforma Automation Anywhere Enterprise oferece várias defesas contra ataques comuns em aplicativos.

A lista abaixo contém vários exemplos desses ataques e os controles de segurança em vigor para evitá-los.

Injeção SQL (SQLi)

A injeção SQL é uma vulnerabilidade de alto risco que pode afetar seriamente a confidencialidade, a integridade e a disponibilidade de um banco de dados. Permite que um invasor execute qualquer SQL de sua escolha dentro do BD, permitindo assim que leia dados confidenciais, modifique/insira dados e execute várias operações.

A Control Room impede a injeção de SQL usando a consulta fornecida pela estrutura de Hibernação.

Script entre sites (Cross Site Scripting, XSS)

O script entre sites é uma vulnerabilidade de alto risco que pode afetar seriamente a confidencialidade, a integridade e a disponibilidade de qualquer sessão de usuários na web. Permite que um invasor execute qualquer Javascript dentro do navegador da vítima, permitindo assim que espie a entrada/saída do usuário ou tome ações não autorizadas em nome do usuário. Além disso, pode redirecionar o usuário para fora do site para um download malicioso de malware ou uma página de phishing de dados de acesso.

A Control Room impede o script entre sites usando codificação automática de saídas fornecida pela estrutura do ReactJS.

10 principais OWASP

O Automation Anywhere Enterprise fornece os seguintes controles para proteger contra os 10 principais OWASP:
Risco Controle
A1: Injeção Todas as entradas são escapadas antes que os comandos ou consultas sejam executados
A2: Autenticação violada e gerenciamento de sessões Consulte a seção Identificação e autenticação
A3: Script entre sites Todas as saídas são codificadas antes de serem devolvidas
A4: Referências de objetos diretos inseguros Autorização centralizada via Spring Security
A5: Configuração incorreta de segurança Nenhuma senha padrão, traços de pilha ocultos, configuração segura do servidor
A6: Exposição de dados confidenciais Consulte as seções "Segurança em repouso" e "Segurança em movimento"
A7: Ausência de controle de acesso no nível de função Autorização centralizada via Spring Security
A8: Falsificação de solicitações entre sites Usando o cabeçalho HTTP de autorização
A9: Usando componentes com vulnerabilidades conhecidas Ferramenta de análise de composição de software de Pato Negro
A10: Redirecionamentos e encaminhamentos não validados N/A - Nenhuma funcionalidade redirecionada presente
Send Feedback (Enviar Feedback)