- 管理使用指南概觀
- 網站功能
- 運作
- 安全性
- 使用者管理與安全性
- 用戶、組和訪問權限管理
- 安全性檢查清單
- OWASP Top 10
- 在生產就緒模式中執行AEM
- 身分識別管理
- AEM Managed Services的Adobe IMS驗證和管理控制台支援
- 建立已關閉的使用者群組
- 減輕AEM中的序列化問題
- 用戶同步
- 封裝的Token支援
- 單一登入
- 如何在AEM中審核使用者管理作業
- SSL預設值
- SAML 2.0 驗證處理常式
- AEM中的已關閉使用者群組
- Granite Operations —— 使用者與群組管理
- 在AEM中啟用CRXDE Lite
- 使用AEM 6設定LDAP
- 在安裝時設定管理員密碼
- AEM中的服務使用者
- 配置屬性的加密支援
- 處理AEM Foundation的GDPR要求
- 內容處置篩選
- 個性化
- 電子商務
- 整合
- 與第三方服務整合
- 與Salesforce整合
- 整合 Adobe Target
- 與 Livefyre 整合
- 整合 Adobe Analytics
- 連線至Adobe Analytics和建立架構
- 設定Adobe Analytics的連結追蹤
- 使用Adobe Analytics屬性對應元件資料
- 設定Adobe Analytics的視訊追蹤
- HTTP2 傳送內容常見問答集
- 疑難排解您的Adobe Campaign整合
- SharePoint Connector授權、著作權聲明及免責聲明
- SharePoint Connector
- DHTML 檢視器生命週期結束常見問答集
- 與Adobe Campaign Classic整合
- 相關社群文章
- 與Adobe Campaign Standard整合
- Flash 檢視器生命週期結束注意事項
- 與Adobe Creative Cloud整合
- 產品摘要
- 與Adobe動態標籤管理整合
- 選擇使用Adobe Analytics和Adobe Target
- AEM入口網站和Portlet
- 與Dynamic Media Classic整合
- AEM Livefyre 指導方針
- 疑難排解整合問題
- 與BrightEdge Content Optimizer整合
- 電子郵件範本的最佳做法
- Catalog Producer
- 設定與Experience Cloud和Creative Cloud的AEM資產整合
- 與Silverpop Engage整合
- 與Adobe Campaign整合
- 與ExactTarget整合
- Analytics與外部提供者
- 與Adobe Marketing Cloud整合
- 手動設定與Adobe Target的整合
- 與Adobe Target整合的先決條件
- Adobe分類
- 與Adobe Search&Promote整合
- 解決方案整合
- Target與體驗片段整合
- 最佳作法
- 內容管理
OWASP Top 10
Open Web應用程式安全性項目(OWASP)維護了前10大Web應用程式安全性風險的清單。
下面列出了這些內容,以及CRX如何處理這些內容的說明。
1.注射
- SQL —— 由設計防止:預設儲存庫設定既不包括也不需要傳統資料庫,所有資料都儲存在內容儲存庫中。 所有存取權限僅限已驗證的使用者,且只能透過JCR API執行。 僅搜索查詢(SELECT)支援SQL。 此外,SQL還提供值綁定支援。
- LDAP —— 無法插入LDAP,因為驗證模組會過濾輸入,並使用綁定方法執行用戶導入。
- OS —— 應用程式內不執行shell。
2.跨網站指令碼(XSS)
一般的緩解做法是使用基於OWASP Encoder和AntiSamy的伺服器端XSS保護庫,對用戶產生的內容的所有輸出進行編碼。
XSS是測試和開發期間的最優先順序,而發現的任何問題(通常)都會立即解決。
3.中斷的驗證和會話管理
AEM使用音效和證實可行的驗證技術,依賴Apache Jackrabbit和Apache Sling。 AEM不會使用瀏覽器/HTTP工作階段。
4.不安全的直接對象引用
所有對資料對象的訪問都由儲存庫介導,因此受基於角色的訪問控制的限制。
5.跨網站偽造要求(CSRF)
跨網站偽造要求(CSRF)可借由自動將加密Token注入所有表單和AJAX要求,並在每個POST的伺服器上驗證此Token,來減輕。
此外,AEM隨附反向連結標題篩選器,此篩選器可設定為only,允許來自特定主機的POST要求(定義於清單中)。
6.安全性配置錯誤
無法保證所有軟體都正確設定。 但是,我們努力提供盡可能多的指導,使配置盡可能簡單。 此外,AEM隨附整合的Security Healthchecks,可協助您一目瞭然地監控安全性設定。
請參閱安全檢查清單以取得詳細資訊,其中提供逐步強化指示。
7.不安全的加密儲存
口令作為加密散列儲存在用戶節點中;預設情況下,這些節點僅由管理員和用戶自己讀取。
敏感資料(如第三方憑據)使用FIPS 140-2認證的加密庫以加密形式儲存。
8.無法限制URL存取
儲存庫允許通過訪問控制條目對任何給定路徑上的任何給定用戶或組設定細粒度權限(由JCR指定)。 存取限制由儲存庫強制執行。
9.傳輸層保護不足
由伺服器設定減輕(例如僅使用HTTPS)。
10.未驗證的重定向和轉發
借由將使用者提供目的地的所有重新導向限制在內部位置,減輕重新導向的影響。