Automation Anywhere

Automation Anywhere Automation 360

關閉內容

內容

開啟內容

防範常見漏洞

  • 已更新:6/17/2019
    • Automation 360 v.x
    • 探索
    • RPA 工作區

防範常見漏洞

Automation Anywhere Enterprise 平台針對常見的應用程式攻擊,提供一些防禦措施。

以下清單包含數個這類攻擊的範例,以及用於防範這些攻擊的安全性控制項。

SQL 插入 (SQLi)

SQL 插入是高風險漏洞,會嚴重影響資料庫的機密、完整性和可用性。其能使攻擊者在資料庫中執行攻擊者所選的任何 SQL,從而允許攻擊者讀取敏感資料、修改/插入資料並執行各種操作。

Control Room 使用 Hibernate 架構提供的查詢來防止 SQL 插入。

跨網站指令碼 (XSS)

跨網站指令碼是高風險漏洞,會嚴重影響任何使用者網站工作階段的機密、完整性和可用性。它使攻擊者能夠在受害者的瀏覽器內執行任何 JavaScript ,從而允許他們監視用戶的輸入 / 輸出或代表用戶執行未經授權的操作。他們也可以將使用者異地重新導向至惡意程式碼下載或認證網路釣魚頁面。

Control Room 使用 ReactJS 架構提供的自動輸出編碼來防止跨網站指令碼。

排名前 10 大 OWASP

Automation Anywhere Enterprise 提供以下控制項用於防範排名前 10 大 OWASP:
風險 控制
A1:插入式攻擊 在執行命令或查詢之前,會逸出所有輸入。
A2:驗證和工作階段管理中斷 請參閱<識別和驗證>一節。
A3:跨網站指令碼 在傳回之前,對所有輸出進行編碼。
A4:不安全的直接物件參考。 透過 Spring Security 的集中式授權。
A5:安全性組態設定錯誤 沒有預設密碼、隱藏的堆疊追蹤、安全伺服器組態
A6:公開敏感資料 請參閱<靜態安全性>和<動態安全性>一節
A7:缺少功能層級存取控制 透過 Spring Security 的集中式授權
A8:跨站台偽造要求 使用授權 HTTP 標頭
A9:使用具有已知漏洞的元件 Black Duck 軟體組成分析工具
A10:未經驗證的重新導向和轉送 N/A:不存在重新導向功能
傳送意見反饋