📄️ Vydávání se za někoho jiného
Zranitelnost umožňuje útočníkovi skrýt se za identitu jiného uživatele a obejít tak bezpečnostní kontroly. Low-code / no-code platforma by měla umožňovat vytvoření speciálních identit, které spadají pod organizaci nebo hlavní účet.
📄️ Zneužití autorizace
Mnoho low-code/no-code platforem zneužívá OAuth autorizaci ukládáním refresh tokenů a jejich opakovaným používáním. Tím se sice zvyšuje produktivita, ale umožňuje to nastavit připojení bez přemýšlení o secrets nebo oprávněních.
📄️ Únik dat a neočekávané důsledky
Low-code / no-code aplikace přistupují k datům jiných služeb, ale také mohou sloužit jako datový kanál pro dané služby. To způsobuje vedlejší účinky jako je vytváření, mazání, únik dat nebo jejich exfiltrace.
📄️ Selhání ověřování a zabezpečené komunikace
Low-code / no-code aplikace se často připojují ke kritickým podnikovým datům, což může vést k nezabezpečené komunikaci. V mnoha případech nastavují credentials a konfiguraci byznys uživatelé, což vede k odchylkám od best practices v zabezpečení.
📄️ Chybné nastavení zabezpečení
Chybná konfigurace low-code / no-code aplikace vede k anonymnímu přístupu k citlivým datům nebo operacím, secrets a nadměrnému sdílení. Mnoho konfigurací se nastavuje na úrovni aplikace, a to byznys uživatelem, nikoli adminem.
📄️ Injection
Low-code / no-code aplikace přijímají data mnoha způsoby. Tato data mohou být škodlivá a představují pro aplikaci riziko. Aplikace se dynamicky dotazují na data na základě uživatelského vstupu, což vede k injection útokům.
📄️ Zranitelné a nedůvěryhodné komponenty
Low-code / no-code aplikace do značné míry spoléhají na hotové komponenty. Ty často nejsou spravovány, nejsou transparentní a vystavují aplikaci nebezpečím spojeným s dodavatelským řetězcem.
📄️ Selhání při zpracování dat a secrets
Low-code / no-code aplikace často ukládají data nebo secrets jako část kódu nebo v databázi. Tato data musí být uložena odpovídajícím způsobem v souladu s bezpečnostními požadavky, jinak dojde k jejich úniku.
📄️ Selhání správy aktiv
Low-code / no-code aplikace se snadno vytvářejí a jsou tak náchylné k tomu, že se vývoj zastaví, ale aplikace zůstane aktivní. To může vést k mnoha bezpečnostním problémům.
📄️ Selhání logování a monitorování
Low-code / no-code aplikace často postrádají komplexní auditní stopu. Nevytvářejí žádné nebo vytvářejí nedostatečné logy a nadměrně k nim sdílí přístup.