Automation Anywhere

Automation Anywhere

關閉內容

內容

開啟內容

防範常見漏洞

  • 已更新:5/10/2019
    • 11.3.x
    • 探索
    • Enterprise

防範常見漏洞

AAE 平台提供許多防範對應用程式常見攻擊的防禦措施。以下清單包含數個這類攻擊的範例,以及用於防範這些攻擊的安全性控制項。

SQL 插入 (SQLi)

SQL 插入是高風險漏洞,可嚴重影響資料庫的機密、完整性和可用性。其能使攻擊者在資料庫中執行攻擊者所選的任何 SQL,從而允許攻擊者讀取敏感資料、修改/插入資料並執行各種操作。

Control Room 使用 Hibernate 架構提供的查詢參數化來防止 SQL 插入。

跨網站指令碼 (XSS)

跨網站指令碼是高風險漏洞,可嚴重影響使用者網站工作階段的機密、完整性和可用性。能使攻擊者在受害者的瀏覽器中執行攻擊者所選的任何 JavaScript,從而允許攻擊者監視使用者的輸入/輸出,或代表使用者採取未經授權的動作。他們也可以將使用者異地重新導向至惡意程式碼下載或認證網路釣魚頁面。

Control Room 使用 ReactJS 架構提供的自動輸出編碼來防止跨網站指令碼。

排名前 10 大 OWASP

AAE 提供以下控制項用於防範排名前 10 大 OWASP:

風險 控制
A1:插入 在執行命令或查詢之前,會逸出所有輸入
A2:驗證和工作階段管理中斷 請參閱<識別和驗證>章節
A3:跨網站指令碼 在傳回之前,對所有輸出進行編碼
A4:不安全的直接物件參考 透過 Spring Security 的集中式授權
A5:安全性組態設定錯誤 沒有預設密碼、隱藏的堆疊追蹤、安全伺服器組態
A6:公開敏感資料 請參閱<靜態安全性>和<動態安全性>章節
A7:缺少功能層級存取控制 透過 Spring Security 的集中式授權
A8:跨站台偽造要求 使用授權 HTTP 標頭
A9:使用具有已知漏洞的元件 Black Duck 軟體組成分析工具
A10:未經驗證的重新導向和轉送 N/A:不存在重新導向功能
傳送意見反饋