OWASP Top 10 owasp-top

The Öppna säkerhetsprojekt för webbprogram (OWASP) har en lista över vad de anser vara De 10 viktigaste säkerhetsriskerna för webbapplikationer.

Dessa är listade nedan tillsammans med en förklaring av hur CRX hanterar dem.

1. Injektion injection

  • SQL - Förhindrad av design: Standarddatabasinställningen innehåller ingen eller kräver en traditionell databas. Alla data lagras i innehållsdatabasen. All åtkomst är begränsad till autentiserade användare och kan endast utföras via JCR API. SQL stöds endast för sökfrågor (SELECT). Dessutom har SQL stöd för värdebindning.
  • LDAP - LDAP-injektion är inte möjlig eftersom autentiseringsmodulen filtrerar indata och utför användarimporten med bind-metoden.
  • OS - Ingen skalkörning utförs inifrån programmet.

2. XSS (Cross-Site Scripting) cross-site-scripting-xss

Den allmänna begränsningsmetoden är att koda alla utdata av användargenererat innehåll med hjälp av ett XSS-skyddsbibliotek på serversidan baserat på OWASP Encoder och AntiSamy.

XSS är en topprioritering både under testning och utveckling, och eventuella problem som hittas löses (normalt) omedelbart.

3. Bruten autentisering och sessionshantering broken-authentication-and-session-management

AEM använder ljud och beprövad verifieringsteknik, beroende på Apache Jackrabbit och Apache Sling. Webbläsar-/HTTP-sessioner används inte i AEM.

4. Osäkra direkta objektreferenser insecure-direct-object-references

All åtkomst till dataobjekt förmedlas av databasen och begränsas därför av rollbaserad åtkomstkontroll.

5. CSRF (Cross-Site Request Forgery) cross-site-request-forgery-csrf

CSRF (Cross-Site Request Forgery) reduceras genom att en kryptografisk token automatiskt matas in i alla formulär och AJAX och denna token verifieras på servern för varje POST.

Dessutom levereras AEM med ett hänvisningsfiltret, som kan konfigureras till endast tillåt POST från specifika värdar (definieras i en lista).

6. Felkonfiguration av säkerhet security-misconfiguration

Det är omöjligt att garantera att all programvara alltid är korrekt konfigurerad. Adobe strävar dock efter att tillhandahålla så mycket vägledning som möjligt och göra konfigurationen så enkel som möjligt. Dessutom AEM fartyg med integrerade säkerhetshälsokontroller som hjälper dig att snabbt övervaka säkerhetskonfigurationen.

Granska Säkerhetschecklista om du vill ha mer information med stegvisa anvisningar om hur du härdar.

7. Osäker kryptografisk lagring insecure-cryptographic-storage

Lösenord lagras som kryptografiska hash-värden i användarnoden. Som standard kan sådana noder bara läsas av administratören och användaren själv.

Känsliga data, som autentiseringsuppgifter från tredje part, lagras i krypterad form med ett FIPS 140-2-certifierat kryptografiskt bibliotek.

8. Det gick inte att begränsa URL-åtkomst failure-to-restrict-url-access

I databasen kan du ange finstilt korniga privilegier (enligt JCR) för en viss användare eller grupp på en viss sökväg, via åtkomstkontrollposter. Åtkomstbegränsningar används av databasen.

9. Otillräckligt skydd av transportskikt insufficient-transport-layer-protection

Hanteras av serverkonfigurationen (använd till exempel bara HTTPS).

10. Ovaliderade omdirigeringar och vidarebefordringar unvalidated-redirects-and-forwards

Begränsad genom att alla omdirigeringar till destinationer som användaren anger begränsas till interna platser.

recommendation-more-help
19ffd973-7af2-44d0-84b5-d547b0dffee2