El Abrir proyecto de seguridad de aplicación web (OWASP) mantiene una lista de lo que consideran el Diez riesgos principales de seguridad de aplicaciones web.
A continuación se enumeran, junto con una explicación de cómo CRX los trata.
La práctica general de mitigación es codificar todos los resultados del contenido generado por el usuario mediante una biblioteca de protección XSS del lado del servidor basada en Codificador OWASP y AntiSamy.
XSS es una prioridad principal durante las pruebas y el desarrollo, y los problemas encontrados se resuelven (normalmente) inmediatamente.
AEM utiliza técnicas de autenticación sólidas y comprobadas, basadas en Apache Jackrabbit y Apache Sling. AEM Las sesiones de explorador/HTTP no se utilizan en las sesiones de.
Todo acceso a los objetos de datos está mediado por el repositorio y, por lo tanto, restringido por el control de acceso basado en roles.
AJAX La falsificación de solicitudes entre sitios (CSRF) se mitiga mediante la inyección automática de un token criptográfico en todas las solicitudes de formularios y y la verificación de este token en el servidor para cada POST.
AEM Además, se envía con un filtro basado en el encabezado de referente, que se puede configurar para que utilice solamente permitir solicitudes de POST de hosts específicos (definidos en una lista).
Es imposible garantizar que todo el software esté siempre correctamente configurado. Sin embargo, Adobe se esfuerza por proporcionar la mayor orientación posible y hacer que la configuración sea lo más sencilla posible. AEM Además, se envía a los buques con Comprobaciones de estado de seguridad integradas que le ayudarán a supervisar la configuración de seguridad de un vistazo.
Revise la Lista de comprobación de seguridad para obtener más información, que le proporciona instrucciones de protección paso a paso.
Las contraseñas se almacenan como hashes criptográficos en el nodo del usuario. De forma predeterminada, estos nodos solo los pueden leer el administrador y el propio usuario.
Los datos confidenciales, como las credenciales de terceros, se almacenan en forma cifrada mediante una biblioteca criptográfica certificada FIPS 140-2.
El repositorio permite la configuración de privilegios muy específicos (según lo especificado por JCR) para un usuario o grupo determinado en cualquier ruta determinada, mediante entradas de control de acceso. El repositorio aplica las restricciones de acceso.
Mitigado por la configuración del servidor (por ejemplo, utilice solo HTTPS).
Se ha mitigado restringiendo todas las redirecciones a destinos proporcionados por el usuario a ubicaciones internas.