O Open Aplicação web Security Project (OWASP) mantém uma lista daquilo que considera como os 10 Riscos de segurança de Aplicação web mais importantes.
Estes estão listados abaixo, juntamente com uma explicação de como o CRX lida com eles.
A prática geral de mitigação é codificar toda a saída de conteúdo gerado pelo usuário usando uma biblioteca de proteção XSS do lado do servidor com base em OWASP Encoder e AntiSamy.
O XSS é uma prioridade máxima durante testes e desenvolvimento, e todos os problemas encontrados são (normalmente) resolvidos imediatamente.
AEM usa técnicas de autenticação comprovadas e de som, confiando em Apache Jackrabbit e Apache Sling. Sessões de Navegador/HTTP não são usadas em AEM.
Todo o acesso a objetos de dados é mediado pelo repositório e, portanto, restringido pelo controle de acesso baseado em funções.
O CSRF (Cross-Site Request Forgery) é mitigado ao injetar automaticamente um token criptográfico em todos os formulários e solicitações de AJAX e verificar esse token no servidor para cada POST.
Além disso, AEM vem com um filtro baseado no cabeçalho da quem indicou, que pode ser configurado para somente permitir solicitações POST de hosts específicos (definido em uma lista).
É impossível garantir que todos os softwares estejam sempre configurados corretamente. No entanto, esforçamo-nos por fornecer o máximo possível de orientações e por tornar a configuração o mais simples possível. Além disso, AEM os navios com Security Health Checks integrados que ajudam a monitorar rapidamente a configuração de segurança.
Consulte a Lista de verificação de segurança para obter mais informações, que fornecem instruções detalhadas passo a passo.
As senhas são armazenadas como hashes criptográficos no nó do usuário; por padrão, esses nós só podem ser lidos pelo administrador e pelo próprio usuário.
Dados confidenciais, como credenciais de terceiros, são armazenados em forma criptografada usando uma biblioteca criptográfica certificada pelo FIPS 140-2.
O repositório permite a configuração de privilégios de granulação fina (conforme especificado pelo JCR) para qualquer usuário ou grupo em determinado caminho, por meio de entradas de controle de acesso. As restrições de acesso são aplicadas pelo repositório.
Limitado pela configuração do servidor (por exemplo, use somente HTTPS).
Reduzido restringindo todos os redirecionamentos para destinos fornecidos pelo usuário a locais internos.