Automation Anywhere

Automation Anywhere

關閉內容

內容

開啟內容

遵循安全編碼實務

  • 已更新:5/10/2019
    • 11.3.x
    • 建立
    • Enterprise

遵循安全編碼實務

機器人開發人員應確保其程式碼有遵循標準安全編碼實務,包括機器人邏輯以及為 DLL 撰寫的 C# 程式碼。

以下是一般情況下建立機器人所適用且相關的安全性檢查清單。

這些檢查對應到開放網路應用程式安全專案 (Open Web Application Security Project,OWASP) 所識別的某些軟體漏洞,OWASP 是致力於提高軟體安全性的非營利組織。以下的每個 OWASP 問題都對應到共通弱點列舉條目 (Common Weakness Enumeration,CWE) 中所包含的某些條目,CWE 這份清單列出軟體開發中可能發生的軟體安全性漏洞,此清單是由非營利性研發團隊 MITRE 所提供。

開發人員應該根據其環境的內部安全性政策來考量其他安全編碼實務。

OWASP 問題 說明 對應的 CWE
A1:插入式攻擊 幾乎任何資料來源都可以是插入向量、環境變數、參數、外部和內部網頁服務,以及所有類型的使用者。當攻擊者可以傳送惡意資料給解譯者時,就會發生插入漏洞
  • CWE-78:OS 命令中使用的特殊元素的中立化不正確 (「OS 命令插入」)
  • CWE-89:SQL 插入
  • CWE-94:程式碼插入
  • CWE-434:未限制上傳危險類型的檔案
  • CWE-494:下載沒有完整性檢查的程式碼
  • CWE-829:包含不受信任的控制領域中的功能

A2:容易破解的驗證 攻擊者可存取數以億計的有效使用者名稱和密碼組合來產生認證填充、預設管理帳戶清單、自動暴力密碼破解及字典攻擊等工具。工作階段管理攻擊很容易理解,尤其是與未到期的工作階段權杖相關時。
  • CWE-306:缺少關鍵功能的驗證
  • CWE-307:對於過多驗證嘗試的限制不完善
  • CWE-798:使用硬式編碼認證
  • CWE-807:在安全性決策中依賴不受信任的輸入
  • CWE-862:缺少授權
  • CWE-863:授權不正確
A3:敏感資料暴露 攻擊者不是直接攻擊密碼編譯,而是竊取金鑰、執行中間人攻擊,或者在資料傳輸過程中或是從使用者的用戶端 (例如瀏覽器) 竊取伺服器上的純文字資料。這通常需要手動攻擊。先前擷取的密碼資料庫有可能經由圖形處理器 (GPU) 進行暴力密碼破解。
  • CWE-311:敏感資料沒有加密
  • CWE-319:以純文字方式傳輸敏感資訊
A5:容易破解的存取控制 利用存取控制是攻擊者的核心技能。SASTDAST 工具可以偵測到缺少存取控制,但有存取控制時則無法驗證其是否有效。您可使用手動方式偵測到存取控制,也可以透過自動化方式進行,以便在某些架構中發現是否缺少存取控制。
  • CWE-73:在外部控制檔案名稱或路徑
  • CWE-285:授權不當
A6:安全性組態設定錯誤 攻擊者通常會嘗試利用未修補的漏洞,或是存取預設帳戶、未使用的頁面、未受保護的檔案和目錄等,以取得未經授權的存取權或系統的相關知識。
  • CWE-250:使用不必要的權限執行作業
  • CWE-676:使用可能有危險的功能
  • CWE-732:關鍵資源的權限指派不正確
A9:使用具有已知漏洞的元件 雖然很容易找到針對許多已知漏洞撰寫的現有入侵程式,但還是有其他漏洞需要集中精力開發量身打造的入侵程式。
  • CWE-190:整數溢位或迴繞
  • CWE-327:使用容易破解或有風險的密碼編譯演算法
  • CWE-759:使用沒有 Salt 的單向雜湊
傳送意見反饋