OWASP Top 10 owasp-top

CAUTION
AEM 6.4 chegou ao fim do suporte estendido e esta documentação não é mais atualizada. Para obter mais detalhes, consulte nossa períodos de assistência técnica. Encontre as versões compatíveis here.

O Abrir Projeto de Segurança da Aplicação Web (OWASP) mantém uma lista do que considera ser o Os 10 Riscos Principais de Segurança da Aplicação Web.

Elas estão listadas abaixo, juntamente com uma explicação de como o CRX lida com elas.

1. Injeção injection

  • SQL - Impedido pelo design: A configuração padrão do repositório não inclui nem requer um banco de dados tradicional, todos os dados são armazenados no repositório de conteúdo. Todo o acesso está limitado a usuários autenticados e só pode ser executado por meio da API JCR. O SQL é compatível somente com consultas de pesquisa (SELECT). Mais o SQL oferece suporte à vinculação de valor.
  • LDAP - A injeção LDAP não é possível, pois o módulo de autenticação filtra a entrada e executa a importação do usuário usando o método bind.
  • SO - Não há execução de shell executada no aplicativo.

2. Script entre sites (XSS) cross-site-scripting-xss

A prática geral de mitigação é codificar toda a saída de conteúdo gerado pelo usuário usando uma biblioteca de proteção XSS do lado do servidor com base em Codificador OWASP e AntiSamy.

O XSS é uma prioridade máxima durante testes e desenvolvimento, e todos os problemas encontrados são (normalmente) resolvidos imediatamente.

3. Autenticação quebrada e gerenciamento de sessão broken-authentication-and-session-management

O AEM usa técnicas de autenticação sólidas e comprovadas, com base em Apache Jackrabbit e Apache Sling. Sessões de Navegador/HTTP não são usadas em AEM.

4. Referências inseguras de objeto direto insecure-direct-object-references

Todo o acesso a objetos de dados é mediado pelo repositório e, portanto, restringido pelo controle de acesso baseado em funções.

5. Falsificação de solicitação entre sites (CSRF) cross-site-request-forgery-csrf

A falsificação de solicitação entre sites (CSRF) é atenuada ao injetar automaticamente um token criptográfico em todos os formulários e solicitações de AJAX e verificar esse token no servidor para cada POST.

Além disso, AEM vem com um filtro baseado no cabeçalho do referenciador, que pode ser configurado para only permitir solicitações de POST de hosts específicos (definido em uma lista).

6. Configuração incorreta da segurança security-misconfiguration

É impossível garantir que todos os softwares estejam sempre configurados corretamente. No entanto, nos esforçamos para fornecer o máximo de orientação possível e tornar a configuração o mais simples possível. Além disso, AEM navios com verificações de integridade de segurança integradas que o ajuda a monitorar rapidamente a configuração de segurança.

Revise o Lista de verificação de segurança para obter mais informações, que fornecem instruções passo a passo de proteção.

7. Armazenamento Criptográfico Inseguro insecure-cryptographic-storage

As senhas são armazenadas como hashes criptográficos no nó do usuário; por padrão, esses nós só podem ser lidos pelo administrador e pelo próprio usuário.

Dados confidenciais, como credenciais de terceiros, são armazenados em formulários criptografados usando uma biblioteca criptográfica certificada pelo FIPS 140-2.

8. Falha ao restringir o acesso ao URL failure-to-restrict-url-access

O repositório permite a configuração de privilégios de granulação fina (conforme especificado pelo JCR) para um determinado usuário ou grupo em um determinado caminho, por meio de entradas de controle de acesso. As restrições de acesso são aplicadas pelo repositório.

9. Proteção insuficiente da camada de transporte insufficient-transport-layer-protection

Atenuado pela configuração do servidor (por exemplo, usar somente HTTPS).

10. Redirecionamentos e encaminhamentos não validados unvalidated-redirects-and-forwards

Atenuado ao restringir todos os redirecionamentos para destinos fornecidos pelo usuário a locais internos.

recommendation-more-help
5ce3024a-cbea-458b-8b2f-f9b8dda516e8