OWASP Top 10 owasp-top
Il progetto di sicurezza dell'applicazione Web aperta (OWASP) mantiene un elenco dei principali dieci rischi di sicurezza dell'applicazione Web.
Questi sono elencati di seguito, insieme a una spiegazione di come CRX li gestisce.
1. Iniezione injection
- SQL - Impedito dalla progettazione: la configurazione predefinita dell’archivio non include né richiede un database tradizionale; tutti i dati vengono memorizzati nell’archivio dei contenuti. Tutti gli accessi sono limitati agli utenti autenticati e possono essere eseguiti solo tramite l’API JCR. SQL è supportato solo per le query di ricerca (SELECT). SQL offre inoltre il supporto per l'associazione dei valori.
- LDAP - L'iniezione LDAP non è possibile perché il modulo di autenticazione filtra l'input ed esegue l'importazione dell'utente utilizzando il metodo bind.
- Sistema operativo: non viene eseguita alcuna esecuzione della shell dall’interno dell’applicazione.
2. Vulnerabilità cross-site scripting (XSS) cross-site-scripting-xss
La procedura di mitigazione generale consiste nel codificare tutti gli output di contenuto generato dall'utente utilizzando una libreria di protezione XSS lato server basata su OWASP Encoder e AntiSamy.
XSS è una priorità assoluta durante sia il test che lo sviluppo e tutti i problemi riscontrati vengono (in genere) risolti immediatamente.
3. Autenticazione e gestione delle sessioni interrotte broken-authentication-and-session-management
AEM utilizza tecniche di autenticazione valide e comprovate, basate su Apache Jackrabbit e Apache Sling. Le sessioni browser/HTTP non vengono utilizzate nell’AEM.
4. Riferimenti diretti agli oggetti non sicuri insecure-direct-object-references
Tutti gli accessi agli oggetti dati sono mediati dall’archivio e pertanto limitati dal controllo degli accessi basato sul ruolo.
5. Cross-Site Request Forgery (CSRF) cross-site-request-forgery-csrf
La funzione Cross-Site Request Forgery (CSRF) viene mitigata inserendo automaticamente un token di crittografia in tutti i moduli e le richieste AJAX e verificando tale token sul server per ogni POST.
Inoltre, l'AEM viene fornito con un filtro basato sull'intestazione del referente, che può essere configurato per solo consentire richieste POST da host specifici (definiti in un elenco).
6. Configurazione errata della sicurezza security-misconfiguration
È impossibile garantire che tutto il software sia sempre configurato correttamente. Tuttavia, Adobe si impegna a fornire il maggior numero possibile di indicazioni e a semplificare il più possibile la configurazione. Inoltre, l'AEM viene fornito con controlli di integrità della sicurezza integrati che consentono di monitorare immediatamente la configurazione della sicurezza.
Esaminare l'elenco di controllo protezione per ulteriori informazioni che forniscono istruzioni dettagliate sulla protezione avanzata.
7. Archiviazione crittografica non sicura insecure-cryptographic-storage
Le password vengono memorizzate come hash di crittografia nel nodo utente. Per impostazione predefinita, tali nodi sono leggibili solo dall’amministratore e dall’utente stesso.
I dati sensibili, come le credenziali di terze parti, vengono archiviati in formato crittografato utilizzando una libreria di crittografia certificata FIPS 140-2.
8. Mancata limitazione dell’accesso agli URL failure-to-restrict-url-access
L'archivio consente l'impostazione di privilegi granulari (come specificato da JCR) per qualsiasi utente o gruppo specificato in un determinato percorso, tramite le voci di controllo di accesso. Le restrizioni di accesso vengono applicate dall’archivio.
9. Protezione insufficiente del livello di trasporto insufficient-transport-layer-protection
Mitigato dalla configurazione del server (ad esempio, utilizza solo HTTPS).
10. Reindirizzamenti e inoltri non convalidati unvalidated-redirects-and-forwards
Attenuata limitando tutti i reindirizzamenti a destinazioni interne fornite dall’utente.