De beveiligingscontrolelijst voor verzending the-dispatcher-security-checklist
Adobe raadt u ten zeerste aan de volgende checklist in te vullen voordat u verdergaat met de productie.
De nieuwste versie van Dispatcher gebruiken use-the-latest-version-of-dispatcher
Installeer de nieuwste beschikbare versie die beschikbaar is voor uw platform. U zou uw instantie van Dispatcher moeten bevorderen om de recentste versie te gebruiken om uit product en veiligheidsverhogingen voordeel te halen. Zie Dispatcher installeren.
[Thu Apr 30 17:30:49 2015] [I] [23171(140735307338496)] Dispatcher initialized (build 4.1.9)
httpd.conf
.Clients beperken die uw cache kunnen leegmaken restrict-clients-that-can-flush-your-cache
Adobe raadt u aan beperkt de clients die uw cache kunnen leegmaken.
HTTPS inschakelen voor beveiliging van transportlagen enable-https-for-transport-layer-security
Adobe raadt u aan de HTTPS-transportlaag in te schakelen voor auteur- en publicatieinstanties.
Toegang beperken restrict-access
Wanneer het vormen van de Dispatcher zou u externe toegang zoveel mogelijk moeten beperken. Zie Voorbeeld-/filtersectie in de Dispatcher documentatie.
Zorg ervoor dat toegang tot administratieve URL's wordt geweigerd make-sure-access-to-administrative-urls-is-denied
Zorg ervoor dat u filters gebruikt om externe toegang tot eventuele beheerURL's, zoals de webconsole, te blokkeren.
Zie Beveiliging van Dispatcher testen voor een lijst met URL's die moeten worden geblokkeerd.
Lijsten van gewenste personen gebruiken in plaats van Lijsten van gewezen personen use-allowlists-instead-of-blocklists
Lijsten van gewenste personen zijn een betere manier om toegangscontrole te verlenen aangezien zij inherent, veronderstellen zij dat alle toegangsverzoeken zouden moeten worden ontkend tenzij zij uitdrukkelijk deel van de lijst van gewenste personen uitmaken. Dit model verstrekt meer restrictieve controle over nieuwe verzoeken die niet zouden kunnen nog zijn herzien of in overweging genomen tijdens een bepaalde configuratiestadium.
Dispatcher uitvoeren met een specifieke systeemgebruiker run-dispatcher-with-a-dedicated-system-user
Wanneer het vormen van de Dispatcher zou u moeten ervoor zorgen dat de Webserver door een specifieke gebruiker met minste voorrechten wordt in werking gesteld. Het wordt aanbevolen alleen schrijftoegang te verlenen tot de cachemap van de verzender.
Bovendien, moeten de gebruikers IIS hun website als volgt vormen:
- Selecteer in de fysieke padinstelling voor uw website de optie Verbinding maken als specifieke gebruiker.
- Stel de gebruiker in.
Ontkenning van service-aanvallen (DoS) voorkomen prevent-denial-of-service-dos-attacks
Een ontkenning van de dienst (Dos) aanval is een poging om een computermiddel niet beschikbaar te maken aan zijn voorgenomen gebruikers.
Op het niveau van de dispatcher, zijn er twee methodes om aanvallen van Dos te vormen te verhinderen: 🔗
-
Gebruik de module mod_rewrite (bijvoorbeeld Apache 2.4) om URL-validaties uit te voeren (als de URL-patroonregels niet te complex zijn).
-
Voorkom dat de verzender URL's in cache plaatst met onduidelijke extensies door filters.
Wijzig bijvoorbeeld de caching-regels om caching te beperken tot de verwachte mime-typen, zoals:.html
.jpg
.gif
.swf
.js
.doc
.pdf
.ppt
Een voorbeeldconfiguratiebestand is zichtbaar voor beperking van externe toegangDit omvat beperkingen voor mime-typen.
Om volledige functionaliteit op de publiceer instanties veilig toe te laten, vorm filters om toegang tot de volgende knopen te verhinderen:
/etc/
/libs/
Configureer vervolgens filters om toegang tot de volgende knooppuntpaden toe te staan:
-
/etc/designs/*
-
/etc/clientlibs/*
-
/etc/segmentation.segment.js
-
/libs/cq/personalization/components/clickstreamcloud/content/config.json
-
/libs/wcm/stats/tracker.js
-
/libs/cq/personalization/*
(JS, CSS en JSON) -
/libs/cq/security/userinfo.json
(Gebruikersgegevens CQ) -
/libs/granite/security/currentuser.json
(gegevens mogen niet in cache worden geplaatst) -
/libs/cq/i18n/*
(Internationalisatie)
Dispatcher configureren om CSRF-aanvallen te voorkomen configure-dispatcher-to-prevent-csrf-attacks
AEM biedt een kader gericht op het voorkomen van aanvallen van smeedstukken tussen verschillende sites. Als u dit framework op de juiste manier wilt gebruiken, moet u de ondersteuning voor CSRF-token in de verzender lijsten van gewenste personen. U kunt dit doen door:
- Een filter maken om de
/libs/granite/csrf/token.json
pad; - Voeg de
CSRF-Token
aan declientheaders
sectie van de configuratie van de Verzender.
Klikaanvallen voorkomen prevent-clickjacking
Om klikaanvallen te verhinderen adviseren wij dat u uw webserver vormt om X-FRAME-OPTIONS
HTTP-header ingesteld op SAMEORIGIN
.
Voor meer informatie over klikjacking gelieve te zien de plaats OWASP.
Een beveiligingstest uitvoeren perform-a-penetration-test
Adobe raadt u ten zeerste aan een penetratietest van uw AEM uit te voeren voordat u verdergaat met de productie.