阅读和查看 Automation Anywhere 文档

Automation Anywhere Automation 360

关闭内容

内容

打开内容

针对常见漏洞的防御

  • 已更新:2019/06/17

    针对常见漏洞的防御

    Automation Anywhere Enterprise 平台针对应用程序经常受到的攻击提供了一些防御。

    下面的列表包含这些攻击的几个示例以及防止这些攻击的安全控制措施。

    SQL 注入 (SQLi)

    SQL 注入是一个高风险漏洞,可严重影响数据库的机密性、完整性和可用性。它使攻击者能够在数据库内执行其选择的任何 SQL,从而允许他们读取敏感数据、修改/插入数据以及执行各种操作。

    Control Room 使用 Hibernate 框架提供的查询来防止 SQL 注入。

    跨站点脚本 (XSS)

    跨站点脚本是一个高风险漏洞,可严重影响任意用户 Web 会话的机密性、完整性和可用性。它使攻击者能够在受害者浏览器内执行任何 JavaScript,从而允许他们监视用户的输入/输出或代表用户执行未经授权的操作。他们还可以将用户异地重定向到恶意软件下载或恶意凭证网络钓鱼页面。

    Control Room 使用 ReactJS 框架提供的自动输出编码防止跨站点脚本。

    OWASP 10 大安全漏洞

    为防御 OWASP 10 大安全漏洞,Automation Anywhere Enterprise 提供了以下控制措施:
    风险 控制
    A1:注入 在执行命令或查询之前,转义所有输入。
    A2:失效的身份验证和会话管理 请参阅“识别和身份验证”部分。
    A3:跨站点脚本 所有输出在返回之前都已进行编码。
    A4:不安全的直接对象引用 通过 Spring Security 进行集中授权
    A5:安全配置错误 无默认密码,隐藏了堆栈跟踪,安全的服务器配置
    A6:敏感数据泄露 请参阅“静态安全性和动态安全性”部分
    A7:缺少功能级别访问控制 通过 Spring Security 进行集中授权
    A8:跨站点请求伪造 使用授权 HTTP 标头
    A9:使用具有已知漏洞的组件 Black Duck 软件组成分析工具
    A10:未经验证的重定向和转发 不适用 - 不存在重定向功能
    发送反馈