OWASP Top 10 owasp-top
Il Apri progetto di protezione applicazione Web (OWASP) mantiene un elenco di ciò che considera come Primi dieci rischi per la sicurezza delle applicazioni web.
Questi sono elencati di seguito, insieme a una spiegazione di come CRX li tratta.
1. Iniezione injection
- SQL - Impedito dalla progettazione: la configurazione predefinita dell’archivio non include né richiede un database tradizionale; tutti i dati vengono memorizzati nell’archivio dei contenuti. Tutti gli accessi sono limitati agli utenti autenticati e possono essere eseguiti solo tramite l’API JCR. SQL è supportato solo per le query di ricerca (SELECT). SQL offre inoltre il supporto per l'associazione dei valori.
- LDAP - L'iniezione LDAP non è possibile perché il modulo di autenticazione filtra l'input ed esegue l'importazione dell'utente utilizzando il metodo bind.
- Sistema operativo: non viene eseguita alcuna esecuzione della shell dall’interno dell’applicazione.
2. Vulnerabilità cross-site scripting (XSS) cross-site-scripting-xss
La pratica di mitigazione generale consiste nel codificare tutti gli output di contenuti generati dagli utenti utilizzando una libreria di protezione XSS lato server basata su Codificatore OWASP e AntiSamy.
XSS è una priorità assoluta durante sia il test che lo sviluppo e tutti i problemi riscontrati vengono (in genere) risolti immediatamente.
3. Autenticazione e gestione delle sessioni interrotte broken-authentication-and-session-management
L'AEM utilizza tecniche di autenticazione solide e collaudate, basate su Apache Jackrabbit e Apache Sling. Le sessioni browser/HTTP non vengono utilizzate nell’AEM.
4. Riferimenti diretti agli oggetti non sicuri insecure-direct-object-references
Tutti gli accessi agli oggetti dati sono mediati dall’archivio e pertanto limitati dal controllo degli accessi basato sul ruolo.
5. Cross-Site Request Forgery (CSRF) cross-site-request-forgery-csrf
La funzione Cross-Site Request Forgery (CSRF) viene mitigata inserendo automaticamente un token di crittografia in tutti i moduli e le richieste AJAX e verificando tale token sul server per ogni POST.
Inoltre, l’AEM viene fornito con un filtro basato sull’intestazione del referente, che può essere configurato per solo consenti richieste POST da host specifici (definiti in un elenco).
6. Configurazione errata della sicurezza security-misconfiguration
È impossibile garantire che tutto il software sia sempre configurato correttamente. Tuttavia, Adobe si impegna a fornire il maggior numero possibile di indicazioni e a semplificare il più possibile la configurazione. Inoltre, l'AEM viene fornito con controlli di integrità e sicurezza integrati che consentono di monitorare immediatamente la configurazione della protezione.
Rivedi Elenco di controllo della sicurezza per ulteriori informazioni sulle istruzioni dettagliate per l'irrigidimento.
7. Archiviazione crittografica non sicura insecure-cryptographic-storage
Le password vengono memorizzate come hash di crittografia nel nodo utente. Per impostazione predefinita, tali nodi sono leggibili solo dall’amministratore e dall’utente stesso.
I dati sensibili, come le credenziali di terze parti, vengono archiviati in formato crittografato utilizzando una libreria di crittografia certificata FIPS 140-2.
8. Mancata limitazione dell’accesso agli URL failure-to-restrict-url-access
L’archivio consente di impostare privilegi granulari (come specificato da JCR) per un determinato utente o gruppo in un determinato percorso, tramite le voci di controllo di accesso. Le restrizioni di accesso vengono applicate dall’archivio.
9. Protezione insufficiente del livello di trasporto insufficient-transport-layer-protection
Mitigato dalla configurazione del server (ad esempio, utilizza solo HTTPS).
10. Reindirizzamenti e inoltri non convalidati unvalidated-redirects-and-forwards
Attenuata limitando tutti i reindirizzamenti a destinazioni interne fornite dall’utente.