OWASP Top 10 owasp-top

Open Web Application Security Project (OWASP) innehåller en lista över vad de anser vara de 10 viktigaste säkerhetsriskerna för webbprogram.

Dessa listas nedan tillsammans med en förklaring av hur CRX hanterar dem.

1. Injektion injection

  • SQL - Förhindrad av design: Standarddatabasinställningen innehåller ingen eller kräver en traditionell databas. Alla data lagras i innehållsdatabasen. All åtkomst är begränsad till autentiserade användare och kan endast utföras via JCR API. SQL stöds endast för sökfrågor (SELECT). Dessutom har SQL stöd för värdebindning.
  • LDAP - LDAP-injektion är inte möjlig eftersom autentiseringsmodulen filtrerar indata och utför användarimporten med bind-metoden.
  • OS - Ingen skalkörning utförs inifrån programmet.

2. XSS (Cross-Site Scripting) cross-site-scripting-xss

Det allmänna begränsningsarbetet är att koda alla utdata för användargenererat innehåll med hjälp av ett XSS-skyddsbibliotek på serversidan som baseras på OWASP Encoder och AntiSamy.

XSS är en topprioritering både under testning och utveckling, och eventuella problem som hittas löses (normalt) omedelbart.

3. Bruten autentisering och sessionshantering broken-authentication-and-session-management

AEM använder ljudtekniker och beprövade autentiseringstekniker som är beroende av Apache Jackrabbit och Apache Sling. Webbläsar-/HTTP-sessioner används inte i AEM.

4. Osäkra direkta objektreferenser insecure-direct-object-references

All åtkomst till dataobjekt förmedlas av databasen och begränsas därför av rollbaserad åtkomstkontroll.

5. CSRF (Cross-Site Request Forgery) cross-site-request-forgery-csrf

CSRF (Cross-Site Request Forgery) reduceras genom att en kryptografisk token automatiskt matas in i alla formulär och AJAX och denna token verifieras på servern för varje POST.

Dessutom levereras AEM med ett hänvisningsrubrikbaserat filter, som kan konfigureras till endast, som tillåter förfrågningar från POSTER från specifika värdar (definieras i en lista).

6. Felkonfiguration av säkerhet security-misconfiguration

Det är omöjligt att garantera att all programvara alltid är korrekt konfigurerad. Adobe strävar dock efter att tillhandahålla så mycket vägledning som möjligt och göra konfigurationen så enkel som möjligt. Dessutom levereras AEM med integrerade säkerhetshälsokontroller som hjälper dig att övervaka säkerhetskonfigurationen snabbt.

Gå igenom checklistan för säkerhet om du vill ha mer information som ger dig stegvisa anvisningar om hur du kan förbättra säkerheten.

7. Osäker kryptografisk lagring insecure-cryptographic-storage

Lösenord lagras som kryptografiska hash-värden i användarnoden. Som standard kan sådana noder bara läsas av administratören och användaren själv.

Känsliga data, som autentiseringsuppgifter från tredje part, lagras i krypterad form med ett FIPS 140-2-certifierat kryptografiskt bibliotek.

8. Det gick inte att begränsa URL-åtkomst failure-to-restrict-url-access

I databasen kan du ange finstilt korniga behörigheter (enligt JCR) för en given användare eller grupp på en given sökväg, via åtkomstkontrollposter. Åtkomstbegränsningar används av databasen.

9. Otillräckligt skydd av transportskikt insufficient-transport-layer-protection

Hanteras av serverkonfigurationen (använd till exempel bara HTTPS).

10. Ovaliderade omdirigeringar och vidarebefordringar unvalidated-redirects-and-forwards

Begränsad genom att alla omdirigeringar till destinationer som användaren anger begränsas till interna platser.

recommendation-more-help
19ffd973-7af2-44d0-84b5-d547b0dffee2