OWASP Top 10

Il Open Web Application Security Project (OWASP) mantiene un elenco dei 10 rischi per la sicurezza delle applicazioni Web considerati come primi 10 rischi per la sicurezza delle applicazioni Web.

Questi sono elencati di seguito, insieme a una spiegazione di come CRX si occupa di loro.

1. Iniezione

  • SQL - Prevenzione della progettazione: La configurazione predefinita del repository non include né richiede un database tradizionale, tutti i dati vengono memorizzati nell'archivio dei contenuti. L'accesso è limitato agli utenti autenticati e può essere eseguito solo tramite l'API JCR. SQL è supportato solo per le query di ricerca (SELECT). Inoltre, SQL offre il supporto per il binding dei valori.
  • LDAP - L’inserimento LDAP non è possibile, poiché il modulo di autenticazione filtra l’input ed esegue l’importazione dell’utente tramite il metodo bind.
  • Sistema operativo: nessuna esecuzione shell eseguita dall'interno dell'applicazione.

2. Script tra siti (XSS)

La pratica generale di mitigazione consiste nel codificare tutti gli output di contenuto generato dall'utente utilizzando una libreria di protezione XSS lato server basata su OWASP Encoder e AntiSamy.

XSS è una priorità assoluta sia durante il test che durante lo sviluppo, e tutti i problemi rilevati vengono (generalmente) risolti immediatamente.

3. Autenticazione e gestione delle sessioni interrotte

AEM utilizza tecniche di autenticazione sonore e collaudate, affidandosi a Apache Jackrabbit e Apache Sling. Le sessioni browser/HTTP non vengono utilizzate in AEM.

4. Riferimenti agli oggetti diretti non sicuri

L'accesso agli oggetti dati è gestito dall'archivio e pertanto limitato da un controllo di accesso basato su ruoli.

5. Modulo di richiesta intersito (CSRF)

Il CSRF (Cross-Site Request Forgery) è attenuato dall'invio automatico di un token di crittografia in tutti i moduli e le richieste di AJAX e dalla verifica del token sul server per ogni POST.

Inoltre, AEM viene fornito con un filtro basato sull'intestazione del referente, che può essere configurato su only per consentire le richieste di POST da host specifici (definiti in un elenco).

6. Configurazione errata della sicurezza

È impossibile garantire che tutto il software sia sempre configurato correttamente. Tuttavia, ci sforziamo di fornire il maggior numero possibile di indicazioni e rendere la configurazione il più semplice possibile. Inoltre, AEM navi con controlli di sicurezza integrati che consentono di monitorare rapidamente la configurazione di sicurezza.

Per ulteriori informazioni, consultare la lista di controllo della sicurezza, che fornisce istruzioni dettagliate per l'applicazione del livello di protezione.

7. Archiviazione crittografia non sicura

Le password sono memorizzate come hash crittografici nel nodo utente; per impostazione predefinita tali nodi sono leggibili solo dall'amministratore e dall'utente stesso.

I dati sensibili, come le credenziali di terze parti, vengono memorizzati in un modulo crittografato utilizzando una libreria di crittografia certificata FIPS 140-2.

8. Errore durante la limitazione dell'accesso all'URL

L'archivio consente di impostare privilegi finemente granulati (come specificato da JCR) per qualsiasi utente o gruppo in qualsiasi percorso, attraverso le voci di controllo degli accessi. Le restrizioni di accesso sono applicate dall'archivio.

9. Protezione livello di trasporto insufficiente

Mitigato dalla configurazione del server (ad esempio, usa solo HTTPS).

10. Reindirizzamenti e inoltri non convalidati

Mitigato limitando tutti i reindirizzamenti alle destinazioni fornite dall'utente alle posizioni interne.

In questa pagina