OWASP(Open Web Application Security Project)(OWASP)는 Top 10 Web Application Security Risks)로 간주하는 항목의 목록을 유지합니다.
다음은 CRX가 어떻게 그들을 상대하는지에 대한 설명과 함께 아래에 나열되어 있습니다.
일반적인 완화 방법은 OWASP 인코더 및 AntiSamy를 기반으로 서버측 XSS 보호 라이브러리를 사용하여 사용자 생성 컨텐츠의 모든 출력을 인코딩하는 것입니다.
XSS는 테스트 및 개발 과정에서 최우선 순위이며 발견된 모든 문제는 즉시 해결됩니다(일반적으로).
AEM은 Apache Jackrabbit 및 Apache Sling에 의존하여 사운드와 입증된 인증 기술을 사용합니다. 브라우저/HTTP 세션은 AEM에서 사용되지 않습니다.
데이터 객체에 대한 모든 액세스는 저장소에 의해 조정되므로 역할 기반 액세스 제어로 제한됩니다.
CSRF(교차 사이트 요청 위조)는 모든 양식 및 AJAX 요청에 암호화 토큰을 자동으로 삽입하고 모든 POST에 대해 서버에서 이 토큰을 확인하여 완화됩니다.
또한 AEM은 레퍼러 헤더 기반 필터와 함께 제공됩니다. 이 필터는 만으로 구성하여 특정 호스트(목록에 정의됨)의 POST 요청을 허용합니다.
모든 소프트웨어가 항상 올바로 구성되어 있다고 보장하는 것은 불가능하다. 하지만, 우리는 가능한 한 많은 지침을 제공하고 가능한 한 간단하게 구성하도록 노력한다. 또한 AEM에는 보안 구성을 한 눈에 모니터링할 수 있는 통합 보안 상태 검사가 포함되어 있습니다.
단계별 강화 지침을 제공하는 자세한 내용은 보안 검사 목록을 참조하십시오.
암호는 사용자 노드에서 암호화 해시로 저장됩니다.기본적으로 이러한 노드는 관리자와 사용자 자신만 읽을 수 있습니다.
타사 자격 증명과 같은 중요한 데이터는 FIPS 140-2 인증 암호화 라이브러리를 사용하여 암호화된 형태로 저장됩니다.
리포지토리는 액세스 제어 항목을 통해 지정된 경로의 지정된 사용자 또는 그룹에 대해 미세 지정됨 권한(JCR에서 지정한 경우)을 설정할 수 있습니다. 액세스 제한은 저장소에 의해 적용됩니다.
서버 구성에 의해 완화됩니다(예: HTTPS만 사용).
사용자 제공 대상에 대한 모든 리디렉션을 내부 위치로 제한하여 완화된 상태입니다.