Il Apri progetto di protezione applicazione Web (OWASP) mantiene un elenco di ciò che considera come Primi dieci rischi per la sicurezza delle applicazioni web.
Questi sono elencati di seguito, insieme a una spiegazione di come CRX li tratta.
La pratica di mitigazione generale consiste nel codificare tutti gli output di contenuti generati dagli utenti utilizzando una libreria di protezione XSS lato server basata su Codificatore OWASP e AntiSamy.
XSS è una priorità assoluta durante sia il test che lo sviluppo e tutti i problemi riscontrati vengono (in genere) risolti immediatamente.
L'AEM utilizza tecniche di autenticazione solide e collaudate, basate su Apache Jackrabbit e Apache Sling. Le sessioni browser/HTTP non vengono utilizzate nell’AEM.
Tutti gli accessi agli oggetti dati sono mediati dall’archivio e pertanto limitati dal controllo degli accessi basato sul ruolo.
La funzione Cross-Site Request Forgery (CSRF) viene mitigata inserendo automaticamente un token di crittografia in tutti i moduli e le richieste AJAX e verificando tale token sul server per ogni POST.
Inoltre, l’AEM viene fornito con un filtro basato sull’intestazione del referente, che può essere configurato per solo consenti richieste POST da host specifici (definiti in un elenco).
È impossibile garantire che tutto il software sia sempre configurato correttamente. Tuttavia, Adobe si impegna a fornire il maggior numero possibile di indicazioni e a semplificare il più possibile la configurazione. Inoltre, l'AEM viene fornito con controlli di integrità e sicurezza integrati che consentono di monitorare immediatamente la configurazione della protezione.
Rivedi Elenco di controllo della sicurezza per ulteriori informazioni sulle istruzioni dettagliate per l'irrigidimento.
Le password vengono memorizzate come hash di crittografia nel nodo utente. Per impostazione predefinita, tali nodi sono leggibili solo dall’amministratore e dall’utente stesso.
I dati sensibili, come le credenziali di terze parti, vengono archiviati in formato crittografato utilizzando una libreria di crittografia certificata FIPS 140-2.
L’archivio consente di impostare privilegi granulari (come specificato da JCR) per un determinato utente o gruppo in un determinato percorso, tramite le voci di controllo di accesso. Le restrizioni di accesso vengono applicate dall’archivio.
Mitigato dalla configurazione del server (ad esempio, utilizza solo HTTPS).
Attenuata limitando tutti i reindirizzamenti a destinazioni interne fornite dall’utente.