この Web アプリケーションセキュリティプロジェクトを開く (OWASP) は、これらが Web アプリケーションのセキュリティリスク上位 10 位.
以下に、CRX での処理方法の説明と共に、これらを示します。
このリスクを軽減する一般的な方法は、OWASP Encoder と AntiSamy に基づくサーバー側の XSS 保護ライブラリを使用して、ユーザーが生成したコンテンツのすべての出力をエンコードすることです。
XSS はテスト時および開発時における最優先事項であり、検出された問題は(通常)すぐに解決されます。
AEM では、Apache Jackrabbit と Apache Sling に基づく、堅実で実績のある認証手法を利用しています。ブラウザー/HTTP セッションは AEM では使用されません。
データオブジェクトへのすべてのアクセスはリポジトリーによって仲介されるので、役割ベースのアクセス制御によって制限されます。
クロスサイトリクエストフォージェリ(CSRF)は、暗号トークンをあらゆる形式および AJAX リクエストに自動的に注入し、すべての POST についてこのトークンをサーバー上で検証することで軽減されます。
さらに、AEM に搭載されているリファラーヘッダーベースのフィルターを設定して、特定のホスト(リストで定義)からの POST リクエストのみを許可することができます。
すべてのソフトウェアが常に正しく設定されていることを保証することは不可能です。 ただし、Adobeは、できるだけ多くのガイダンスを提供し、設定をできるだけ簡単にするよう努めています。 さらに、AEMは 統合セキュリティヘルスチェック セキュリティ構成を一目で監視するのに役立つ情報です。
以下を確認します。 セキュリティチェックリスト を参照してください。
パスワードは暗号化ハッシュとしてユーザーノードに保存されます。 デフォルトでは、このようなノードは、管理者とユーザー自身が読み取り可能です。
サードパーティの資格情報などの機密データは、FIPS 140-2 認定暗号化ライブラリを使用して暗号化された形式で保存されます。
リポジトリでは 詳細な権限(JCR で指定) 任意のパスの特定のユーザーまたはグループに対して、アクセス制御エントリを通じて アクセス制限はリポジトリによって適用されます。
サーバー設定によって軽減されます(例えば、HTTPS のみを使用)。
ユーザーが指定した宛先へのすべてのリダイレクトを内部の場所に制限することで軽減されます。