Dispatcher 安全性檢查清單 the-dispatcher-security-checklist
Adobe 建議您在進入生產階段前完成以下檢查清單。
使用最新版的 Dispatcher use-the-latest-version-of-dispatcher
安裝您平台適用的最新可用版本。升級 Dispatcher 執行個體來使用最新版,以充分利用產品和安全性增強功能。請參閱安裝 Dispatcher。
[Thu Apr 30 17:30:49 2015] [I] [23171(140735307338496)] Dispatcher initialized (build 4.1.9)
httpd.conf
中檢查 Dispatcher 設定。限制可以清除您的快取的用戶端 restrict-clients-that-can-flush-your-cache
Adobe 建議您最好限制可以清除您的快取的用戶端。
啟用 HTTPS 以提供傳輸層安全性 enable-https-for-transport-layer-security
Adobe 建議您在編寫和發佈執行個體上啟用 HTTPS 傳輸層安全性。
限制存取 restrict-access
當您設定 Dispatcher 時,要盡可能限制外部存取。 請參閱 Dispatcher 文件中的範例 /filter 區段。
確保對管理 URL 的存取權已被拒絕 make-sure-access-to-administrative-urls-is-denied
務必使用篩選條件來封鎖對任何管理 URL (例如網頁主控台) 的外部存取。
如需必須封鎖的 URL 清單,可參閱測試 Dispatcher 安全性。
使用允許清單而非封鎖清單 use-allowlists-instead-of-blocklists
允許清單是提供存取控制的較佳方式,因為其原本就會假定所有存取請求都應該被拒絕,除非這些請求被明確列為允許清單的一部分。 此模型對可能尚未審查或在特定設定階段被考量的新請求提供較嚴格的控管。
透過專用系統使用者執行 Dispatcher run-dispatcher-with-a-dedicated-system-user
在設定 Dispatcher 時,確保網頁伺服器是由具備最低權限的專用使用者所執行。建議您最好只授與對 Dispatcher 快取資料夾的寫入權限。
此外,IIS 使用者必須依下面來設定他們的網站:
- 在您網站的實體路徑設定中,請選取 以特定使用者身分連線。
- 設定使用者。
避免阻斷服務 (DoS) 攻擊 prevent-denial-of-service-dos-attacks
阻斷服務 (DoS) 攻擊指的是嘗試讓電腦資源無法提供給其目標使用者使用。
在 Dispatcher 層級,有兩個設定方法可避免 DoS 攻擊:篩選器。
-
使用 mod_rewrite 模組 (例如 Apache 2.4) 執行 URL 驗證 (如果 URL 模式規則不是太複雜)。
-
使用篩選條件避免 Dispatcher 快取帶有虛假副檔名的 URL。
例如,變更快取規則,將快取限制為預期的 mime 類型,例如:.html
.jpg
.gif
.swf
.js
.doc
.pdf
.ppt
可以看到用來限制外部存取的設定檔範例。這包括 mime 類型的限制。
若要在發佈執行個體上啟用完整功能,請設定篩選條件來避免存取以下節點:
/etc/
/libs/
然後設定篩選條件來允許存取以下節點路徑:
-
/etc/designs/*
-
/etc/clientlibs/*
-
/etc/segmentation.segment.js
-
/libs/cq/personalization/components/clickstreamcloud/content/config.json
-
/libs/wcm/stats/tracker.js
-
/libs/cq/personalization/*
(JS、CSS 和 JSON) -
/libs/cq/security/userinfo.json
(CQ 使用者資訊) -
/libs/granite/security/currentuser.json
(資料不得快取) -
/libs/cq/i18n/*
(內部化)
設定 Dispatcher 以避免 CSRF 攻擊 configure-dispatcher-to-prevent-csrf-attacks
AEM 提供了旨在避免跨網站請求偽造攻擊的架構。 若要正確使用此架構,請透過執行下列操作,在 Dispatcher 中將 CSRF 權杖支援加入允許清單:
- 建立篩選條件以允許
/libs/granite/csrf/token.json
路徑; - 將
CSRF-Token
標頭新增到 Dispatcher 設定的clientheaders
區段。
避免點擊劫持 prevent-clickjacking
若要避免點擊劫持,Adobe 建議您設定網頁伺服器,以提供設為 SAMEORIGIN
的 X-FRAME-OPTIONS
HTTP 標頭。
如需點擊劫持的詳細資訊,可參閱 OWASP 網站。
執行滲透測試 perform-a-penetration-test
Adobe 極力建議您在進入生產階段前執行 AEM 基礎結構的滲透測試。