阅读和查看 Automation Anywhere 文档

Automation Anywhere

关闭内容

内容

打开内容

遵循安全编码实践

  • 已更新:5/10/2019
    • 11.3.x
    • 版本
    • Enterprise

遵循安全编码实践

机器人开发人员应确保其代码遵循标准安全编码实践,包括为 DLL 编写的机器人逻辑和 C# 代码。

以下安全检查列表通常适用于创建机器人

这些检查主要针对开源 Web 应用程序安全项目 (OWASP) 确定的特定软件漏洞,OWASP 是一个致力于提高软件安全性的非盈利组织。以下每个 OWASP 问题都对应于通用缺陷列表 (CWE) 中包含的特定项,CWE 列出了非盈利性研究和开发小组 MITRE 提供的在软件开发中可能出现的软件安全漏洞。

开发人员还应根据其环境的内部安全策略考虑其他安全编码实践。

OWASP 问题 描述 与之对应的 CWE
A1:注入 几乎任何数据源都可以是注入向量,例如环境变量、参数、外部和内部 Web 服务以及所有类型的用户。当攻击者可以将恶意数据发送到解析器时,即产生了注入缺陷
  • CWE-78:对操作系统命令中使用的特殊元素处理不当(“操作系统命令注入”)
  • CWE-89:SQL 注入
  • CWE-94:代码注入
  • CWE-434:不受限制地上传危险类型的文件
  • CWE-494:下载代码而不进行完整性检查
  • CWE-829:包含来自不受信任的控制范围的功能

A2:失效的身份验证 攻击者可以访问数亿个有效的用户名和密码组合,涉及凭证填充、默认管理账户列表、自动暴力破解以及字典攻击工具。会话管理攻击极易理解,尤其是涉及未过期会话令牌的攻击。
  • CWE-306:缺少针对关键功能的身份验证
  • CWE-307:对过度身份验证尝试的限制不当
  • CWE-798:使用硬编码凭证
  • CWE-807:在安全决策中依赖不受信任的输入
  • CWE-862:缺少授权
  • CWE-863:授权错误
A3:敏感数据泄露 攻击者不是直接攻击密码,而是在传输过程中从服务器或从用户客户端(如浏览器)窃取密钥、执行中间人攻击或窃取明文数据。通常需要手动攻击。通过使用图形处理单元 (GPU),以前检索到的密码数据库可能被暴力破解。
  • CWE-311:缺少敏感数据加密
  • CWE-319:明文传输敏感信息
A5:失效的访问控制 利用访问控制是攻击者的核心技能。SASTDAST 工具可以检测到缺少访问控制,但无法验证现有的访问控制是否有效。访问控制可通过手动方式检测,或在某些特定框架下通过自动化检测访问控制缺失。
  • CWE-73:外部控制文件名或路径
  • CWE-285:授权不当
A6:安全配置错误 通常,攻击者能够利用未修复的缺陷、访问默认账户、不再使用的页面、未受保护的文件和目录等,在未经授权的情况下访问或了解系统。
  • CWE-250:使用不必要的权限
  • CWE-676:使用潜在危险功能
  • CWE-732:关键资源的权限分配不正确
A9:使用含有已知漏洞的组件 对于许多已知漏洞,找到现成的漏洞利用程序轻而易举,但对于其他漏洞,则需要集中开发自定义漏洞利用程序。
  • CWE-190:整数溢出或回绕
  • CWE-327:使用失效或有风险的加密算法
  • CWE-759:使用无盐单向哈希算法
发送反馈