Defesas contra vulnerabilidades comuns

A plataforma Automation 360 oferece várias defesas contra ataques comuns em aplicativos.

A lista abaixo contém vários exemplos desses ataques e os controles de segurança em vigor para evitá-los.

Injeção SQL (SQLi)

A injeção SQL é uma vulnerabilidade de alto risco que pode afetar seriamente a confidencialidade, a integridade e a disponibilidade de um banco de dados. Permite que um invasor execute qualquer SQL de sua escolha dentro do BD, permitindo assim que leia dados confidenciais, modifique/insira dados e execute várias operações.

O Control Room impede a injeção de SQL usando a consulta fornecida pela estrutura de Hibernação.

Script entre sites (Cross Site Scripting, XSS)

O script entre sites é uma vulnerabilidade de alto risco que pode afetar seriamente a confidencialidade, a integridade e a disponibilidade de qualquer sessão de usuários na web. Permite que um invasor execute qualquer Javascript dentro do navegador da vítima, permitindo assim que espie a entrada/saída do usuário ou tome ações não autorizadas em nome do usuário. Além disso, pode redirecionar o usuário para fora do site para um download malicioso de malware ou uma página de phishing de dados de acesso.

A Control Room impede o script entre sites usando codificação automática de saídas fornecida pela estrutura do ReactJS.

10 principais OWASP

O Automation Anywhere fornece os seguintes controles para proteger contra os 10 principais OWASP:
Risco Controle
A1: Injeção Todas as entradas escapam antes que os comandos ou consultas sejam executados.
A2: Autenticação violada e gerenciamento de sessões Consulte a seção Identificação e autenticação.
A3: Script entre sites Todas as saídas são codificadas antes de serem devolvidas.
A4: Referências de objetos diretos inseguros Autorização centralizada via Spring Security.
A5: Configuração incorreta de segurança Nenhuma senha padrão, traços de pilha ocultos, configuração segura do servidor
A6: Exposição de dados confidenciais Consulte as seções Segurança em repouso e Segurança em movimento
A7: Ausência de controle de acesso no nível de função Autorização centralizada via Spring Security
A8: Falsificação de solicitações entre sites Usar o cabeçalho HTTP de autorização
A9: Usar componentes com vulnerabilidades conhecidas Ferramenta de análise de composição de software de Black Duck
A10: Redirecionamentos e encaminhamentos não validados N/A - Nenhuma funcionalidade redirecionada presente