OWASP Top 10 owasp-top

CAUTION
AEM 6.4 heeft het einde van de uitgebreide ondersteuning bereikt en deze documentatie wordt niet meer bijgewerkt. Raadpleeg voor meer informatie onze technische ondersteuningsperioden. Ondersteunde versies zoeken hier.

De Beveiligingsproject webtoepassing openen (OWASP) houdt een lijst bij van wat zij als de De 10 belangrijkste beveiligingsrisico's voor webtoepassingen.

Deze worden hieronder vermeld, samen met een uitleg van de manier waarop CRX ermee omgaat.

1. Injectie injection

  • SQL - Voorkomen door ontwerp: De standaardopslagopstelling omvat noch vereist een traditionele gegevensbestand, al gegevens wordt opgeslagen in de inhoudsbewaarplaats. Alle toegang is beperkt tot geverifieerde gebruikers en kan alleen worden uitgevoerd via de JCR API. SQL wordt alleen ondersteund voor zoekopdrachten (SELECT). Bovendien biedt SQL ondersteuning voor waardebinding.
  • LDAP - LDAP-injectie is niet mogelijk, omdat de verificatiemodule de invoer filtert en de gebruiker importeert met de methode bind.
  • OS - Er wordt geen shell-uitvoering uitgevoerd vanuit de toepassing.

2. XSS (Cross-Site Scripting) cross-site-scripting-xss

De algemene matigingspraktijk moet al output van gebruiker-geproduceerde inhoud coderen gebruikend een server-kantXSS beschermingsbibliotheek die op OWASP Encoder en AntiSamy.

XSS is een hoogste prioriteit tijdens zowel het testen als de ontwikkeling, en om het even welke gevonden kwesties worden (typisch) onmiddellijk opgelost.

3. Verbroken verificatie- en sessiebeheer broken-authentication-and-session-management

AEM gebruikt correcte en bewezen authentificatietechnieken, die zich baseren op Apache Jackrabbit en Apache Sling. Browser/HTTP-sessies worden niet gebruikt in AEM.

4. Verwijzingen naar onveilige directe objecten insecure-direct-object-references

Alle toegang tot gegevensvoorwerpen wordt bemiddelen door de bewaarplaats en daarom beperkt door op rol gebaseerd toegangsbeheer.

5. Cross-Site Request-vervalsing (CSRF) cross-site-request-forgery-csrf

Smeedraaien voor aanvragen tussen sites (CSRF) wordt beperkt door automatisch een cryptografisch token in alle formulieren en AJAX te injecteren en dit token op de server voor elke POST te controleren.

Bovendien AEM schepen met een verwijzing-kopbal gebaseerd filter, dat kan worden gevormd aan alleen staan verzoeken van POSTEN van specifieke hosts (gedefinieerd in een lijst) toe.

6. Beveiligingsfout security-misconfiguration

Het is onmogelijk te garanderen dat alle software altijd correct is geconfigureerd. Wij streven er echter naar zoveel mogelijk begeleiding te bieden en de configuratie zo eenvoudig mogelijk te maken. Bovendien AEM schepen met geïntegreerde veiligheidscontroles die u helpen veiligheidsconfiguratie in een oogopslag controleren.

Controleer de Beveiligingscontrolelijst voor meer informatie die u van geleidelijke het verharden instructies voorziet.

7. Onveilige cryptografische opslag insecure-cryptographic-storage

Wachtwoorden worden opgeslagen als cryptografische hashes in het gebruikersknooppunt; deze knooppunten kunnen standaard alleen door de beheerder en de gebruiker zelf worden gelezen.

Gevoelige gegevens zoals referenties van derden worden in gecodeerde vorm opgeslagen met behulp van een voor FIPS 140-2 gecertificeerde cryptografische bibliotheek.

8. Kan URL-toegang niet beperken failure-to-restrict-url-access

De opslagplaats maakt het mogelijk om fijngegraveerde rechten (zoals gespecificeerd door het JCR) voor om het even welke bepaalde gebruiker of groep bij om het even welk bepaald weg, door toegangsbeheeringangen. Toegangsbeperkingen worden afgedwongen door de repository.

9. Onvoldoende beveiliging van transportlaag insufficient-transport-layer-protection

Gemengde door serverconfiguratie (bijvoorbeeld alleen HTTPS gebruiken).

10 Niet-gevalideerde omleidingen en doorsturen unvalidated-redirects-and-forwards

Gematigd door alle omleidingen aan gebruiker-geleverde bestemmingen aan interne plaatsen te beperken.

recommendation-more-help
5ce3024a-cbea-458b-8b2f-f9b8dda516e8