OWASP Top 10

ATTENZIONE

AEM 6.4 ha raggiunto la fine del supporto esteso e questa documentazione non viene più aggiornata. Per maggiori dettagli, consulta la nostra periodi di assistenza tecnica. Trova le versioni supportate qui.

La Apri progetto di sicurezza applicazione Web (OWASP) mantiene un elenco di ciò che considerano come Primi 10 rischi per la sicurezza delle applicazioni web.

Questi sono elencati di seguito, insieme a una spiegazione di come CRX tratta con loro.

1. Iniezione

  • SQL - Preventivo della progettazione: La configurazione predefinita dell’archivio non include né richiede un database tradizionale, tutti i dati vengono memorizzati nell’archivio dei contenuti. L’accesso è limitato agli utenti autenticati e può essere eseguito solo tramite l’API JCR. SQL supportato solo per le query di ricerca (SELECT). Inoltre, SQL offre il supporto per il binding dei valori.
  • LDAP - L'inserimento LDAP non è possibile, in quanto il modulo di autenticazione filtra l'input ed esegue l'importazione dell'utente utilizzando il metodo bind.
  • Sistema operativo: nessuna esecuzione della shell eseguita dall'interno dell'applicazione.

2. Script tra siti (XSS)

La pratica generale di mitigazione è quella di codificare tutti gli output di contenuti generati dagli utenti utilizzando una libreria di protezione XSS lato server basata su Codificatore OWASP e AntiSamy.

XSS è una priorità assoluta sia durante i test che durante lo sviluppo e tutti i problemi rilevati vengono (in genere) risolti immediatamente.

3. Autenticazione non riuscita e gestione delle sessioni

AEM utilizza tecniche di autenticazione sonore e comprovate, affidandosi Apache Jackrabbit e Sling Apache. Le sessioni browser/HTTP non sono utilizzate in AEM.

4. Riferimenti agli oggetti diretti non sicuri

L’accesso a tutti gli oggetti dati viene mediato dall’archivio e quindi limitato dal controllo degli accessi basato su ruoli.

5. Forgeria di richiesta intersito (CSRF)

Il CSRF (Cross-Site Request Forgery) è mitigato dall’inserimento automatico di un token di crittografia in tutti i moduli e le richieste di AJAX e dalla verifica di tale token sul server per ogni POST.

Inoltre, AEM viene fornito con un filtro basato su intestazione referrer, che può essere configurato per only consentire le richieste POST da host specifici (definiti in un elenco).

6. Configurazione errata della sicurezza

È impossibile garantire che tutto il software sia sempre configurato correttamente. Tuttavia, ci sforziamo di fornire il maggior numero possibile di indicazioni e rendere la configurazione il più semplice possibile. Inoltre, AEM navi con controlli di sicurezza integrati che consentono di monitorare immediatamente la configurazione della sicurezza.

Controlla la Lista di controllo sicurezza per ulteriori informazioni che forniscono istruzioni dettagliate sull’indurimento.

7. Archiviazione crittografica non sicura

le password sono memorizzate come hash di crittografia nel nodo utente; per impostazione predefinita tali nodi sono leggibili solo dall’amministratore e dall’utente stesso.

I dati sensibili, come le credenziali di terze parti, vengono memorizzati in formato crittografato utilizzando una libreria di crittografia certificata FIPS 140-2.

8. Errore nel limitare l'accesso agli URL

L'archivio consente l'impostazione di privilegi a grana fine (come specificato da JCR) per qualsiasi utente o gruppo specificato in un determinato percorso, tramite le voci del controllo di accesso. Le restrizioni di accesso sono applicate dall’archivio.

9. Protezione insufficiente dello strato di trasporto

È attenuata dalla configurazione del server (ad esempio, utilizza solo HTTPS).

10. Reindirizzamenti e inoltri non convalidati

È possibile attenuare la limitazione di tutti i reindirizzamenti alle destinazioni fornite dall’utente nelle posizioni interne.

In questa pagina