Defesas contra vulnerabilidades comuns
- Última atualização2021/10/09
Defesas contra vulnerabilidades comuns
A plataforma Automation 360 oferece várias defesas contra ataques comuns em aplicativos.
A lista abaixo contém vários exemplos desses ataques e os controles de segurança em vigor para evitá-los.
Injeção SQL (SQLi)
A injeção SQL é uma vulnerabilidade de alto risco que pode afetar seriamente a confidencialidade, a integridade e a disponibilidade de um banco de dados. Permite que um invasor execute qualquer SQL de sua escolha dentro do BD, permitindo assim que leia dados confidenciais, modifique/insira dados e execute várias operações.
O Control Room impede a injeção de SQL usando a consulta fornecida pela estrutura de Hibernação.
Script entre sites (Cross Site Scripting, XSS)
O script entre sites é uma vulnerabilidade de alto risco que pode afetar seriamente a confidencialidade, a integridade e a disponibilidade de qualquer sessão de usuários na web. Permite que um invasor execute qualquer Javascript dentro do navegador da vítima, permitindo assim que espie a entrada/saída do usuário ou tome ações não autorizadas em nome do usuário. Além disso, pode redirecionar o usuário para fora do site para um download malicioso de malware ou uma página de phishing de dados de acesso.
A Control Room impede o script entre sites usando codificação automática de saídas fornecida pela estrutura do ReactJS.
10 principais OWASP
Risco | Controle |
---|---|
A1: Injeção | Todas as entradas escapam antes que os comandos ou consultas sejam executados. |
A2: Autenticação violada e gerenciamento de sessões | Consulte a seção Identificação e autenticação. |
A3: Script entre sites | Todas as saídas são codificadas antes de serem devolvidas. |
A4: Referências de objetos diretos inseguros | Autorização centralizada via Spring Security. |
A5: Configuração incorreta de segurança | Nenhuma senha padrão, traços de pilha ocultos, configuração segura do servidor |
A6: Exposição de dados confidenciais | Consulte as seções Segurança em repouso e Segurança em movimento |
A7: Ausência de controle de acesso no nível de função | Autorização centralizada via Spring Security |
A8: Falsificação de solicitações entre sites | Usar o cabeçalho HTTP de autorização |
A9: Usar componentes com vulnerabilidades conhecidas | Ferramenta de análise de composição de software de Black Duck |
A10: Redirecionamentos e encaminhamentos não validados | N/A - Nenhuma funcionalidade redirecionada presente |