OWASP – Top 10 owasp-top

Die Webanwendungs-Sicherheitsprojekt öffnen (OWASP) verwaltet eine Liste dessen, was sie als Die zehn häufigsten Sicherheitsrisiken für Webanwendungen.

Diese sind unten aufgeführt, zusammen mit einer Erläuterung, wie CRX mit ihnen umgeht.

1. Injektion injection

  • SQL - Vorsichtshinweis: Die standardmäßige Repository-Einrichtung umfasst keine traditionelle Datenbank und erfordert auch keine solche. Alle Daten werden im Inhalts-Repository gespeichert. Der Zugriff ist auf authentifizierte Benutzer beschränkt und kann nur über die JCR-API erfolgen. SQL wird nur für Suchabfragen (SELECT) unterstützt. Darüber hinaus bietet SQL Unterstützung für die Wertbindung.
  • LDAP - Eine LDAP-Injektion ist nicht möglich, da das Authentifizierungsmodul die Eingabe filtert und den Benutzerimport mithilfe der Bindungsmethode durchführt.
  • BS - In der Anwendung wird keine Shell-Ausführung ausgeführt.

2. Cross-Site Scripting (XSS) cross-site-scripting-xss

Die allgemeine Praxis zur Schadensbegrenzung besteht in der Codierung aller Ausgaben benutzergenerierter Inhalte mithilfe einer Server-seitigen XSS-Schutzbibliothek, die auf dem OWASP Encoder und AntiSamy basiert.

XSS hat sowohl bei den Tests als auch bei der Entwicklung eine hohe Priorität und alle festgestellten Probleme werden (in der Regel) umgehend behoben.

3. Fehler in Authentifizierung und Session Management broken-authentication-and-session-management

AEM nutzt fundierte, bewährte Authentifizierungstechniken und greift hierzu auf Apache Jackrabbit und Apache Sling zurück. In AEM werden keine Browser-/HTTP-Sitzungen verwendet.

4. Unsichere direkte Objektreferenzen insecure-direct-object-references

Der Zugriff auf Datenobjekte wird vom Repository vermittelt und daher durch rollenbasierte Zugriffskontrolle eingeschränkt.

5. Cross-Site Request Forgery (CSRF) cross-site-request-forgery-csrf

Auf das Risiko der Cross-Site Request Forgery (CSRF) wird durch die automatische Einschleusung eines kryptografischen Tokens in alle Formulare und AJAX-Anforderungen sowie durch die Verifizierung dieses Tokens auf dem Server bei jedem POST eingegangen.

Darüber hinaus ist AEM mit einem Referrer-Header-basierten Filter ausgestattet, der so konfiguriert werden kann, dass er nur POST-Anforderungen von bestimmten Hosts (in einer Liste definiert) zulässt.

6. Sicherheitsfehler security-misconfiguration

Es ist unmöglich zu garantieren, dass alle Software immer korrekt konfiguriert ist. Adobe bemüht sich jedoch, möglichst viele Anleitungen bereitzustellen und die Konfiguration so einfach wie möglich zu gestalten. AEM Integrierte Sicherheits-Konsistenzprüfungen die Ihnen dabei helfen, die Sicherheitskonfiguration auf einen Blick zu verfolgen.

Überprüfen Sie die Sicherheitscheckliste für weitere Informationen, die Ihnen schrittweise Anleitungen zum Härten bieten.

7. Unsicherer kryptografischer Speicher insecure-cryptographic-storage

Passwörter werden als kryptografische Hashes im Benutzerknoten gespeichert. Standardmäßig sind solche Knoten nur vom Administrator und vom Benutzer selbst lesbar.

Sensible Daten wie Drittanbieter-Anmeldeinformationen werden in verschlüsselter Form mit einer FIPS 140-2-zertifizierten kryptografischen Bibliothek gespeichert.

8. Fehler beim Einschränken des URL-Zugriffs failure-to-restrict-url-access

Das Repository ermöglicht die Festlegung von Präzise Berechtigungen (gemäß JCR) für jeden einzelnen Benutzer oder jede Gruppe an einem beliebigen Pfad über Zugriffssteuerungseinträge. Zugriffbeschränkungen werden durch das Repository durchgesetzt.

9. Unzureichende Transportschichtsicherheit insufficient-transport-layer-protection

Wird durch die Serverkonfiguration abgemildert (z. B. nur HTTPS verwenden).

10. Ungeprüfte Um- und Weiterleitungen unvalidated-redirects-and-forwards

Dieses Risiko wird durch die Beschränkung aller Umleitungen an benutzerseitig bereitgestellte Ziele auf interne Standorte gemindert.

recommendation-more-help
19ffd973-7af2-44d0-84b5-d547b0dffee2