OWASP – Top 10 owasp-top
Die Webanwendungs-Sicherheitsprojekt öffnen (OWASP) verwaltet eine Liste dessen, was sie als Die 10 wichtigsten Sicherheitsrisiken für Webanwendungen.
Diese sind unten aufgeführt, zusammen mit einer Erläuterung, wie CRX mit ihnen umgeht.
1. Injektion injection
- SQL - Vorsichtshinweis: Die standardmäßige Repository-Einrichtung umfasst keine traditionelle Datenbank und erfordert auch keine solche. Alle Daten werden im Inhalts-Repository gespeichert. Der Zugriff ist auf authentifizierte Benutzer beschränkt und kann nur über die JCR-API erfolgen. SQL wird nur für Suchabfragen (SELECT) unterstützt. Darüber hinaus bietet SQL Unterstützung für Werte-Binding.
- LDAP - Eine LDAP-Injektion ist nicht möglich, da das Authentifizierungsmodul die Eingabe filtert und den Benutzerimport mithilfe der Bindungsmethode durchführt.
- BS - In der Anwendung wird keine Shell-Ausführung ausgeführt.
2. Cross-Site Scripting (XSS) cross-site-scripting-xss
Die allgemeine Praxis zur Schadensbegrenzung besteht in der Codierung aller Ausgaben benutzergenerierter Inhalte mithilfe einer Server-seitigen XSS-Schutzbibliothek, die auf dem OWASP Encoder und AntiSamy basiert.
XSS hat sowohl bei den Tests als auch bei der Entwicklung eine hohe Priorität und alle festgestellten Probleme werden (in der Regel) umgehend behoben.
3. Fehler in Authentifizierung und Session Management broken-authentication-and-session-management
AEM nutzt fundierte, bewährte Authentifizierungstechniken und greift hierzu auf Apache Jackrabbit und Apache Sling zurück. In AEM werden keine Browser-/HTTP-Sitzungen verwendet.
4. Unsichere direkte Objektreferenzen insecure-direct-object-references
Der Zugriff auf Datenobjekte wird vom Repository vermittelt und daher durch rollenbasierte Zugriffskontrolle eingeschränkt.
5. Cross-Site Request Forgery (CSRF) cross-site-request-forgery-csrf
Auf das Risiko der Cross-Site Request Forgery (CSRF) wird durch die automatische Einschleusung eines kryptografischen Tokens in alle Formulare und AJAX-Anforderungen sowie durch die Verifizierung dieses Tokens auf dem Server bei jedem POST eingegangen.
Darüber hinaus ist AEM mit einem Referrer-Header-basierten Filter ausgestattet, der so konfiguriert werden kann, dass er nur POST-Anforderungen von bestimmten Hosts (in einer Liste definiert) zulässt.
6. Sicherheitsfehler security-misconfiguration
Es ist unmöglich zu garantieren, dass alle Software immer korrekt konfiguriert ist. Wir bemühen uns jedoch, möglichst viele Anleitungen zur Verfügung zu stellen und die Konfiguration so einfach wie möglich zu gestalten. AEM Integrierte Sicherheits-Konsistenzprüfungen die Ihnen dabei helfen, die Sicherheitskonfiguration auf einen Blick zu verfolgen.
In der Sicherheitsprüfliste finden Sie weitere Informationen, die Ihnen Schritt für Schritt Härtungsanweisungen bereitstellen.
7. Unsicherer kryptografischer Speicher insecure-cryptographic-storage
Kennwörter werden als kryptografische Hashes im Benutzerknoten gespeichert. Standardmäßig sind diese Knoten nur vom Administrator und vom Benutzer selbst lesbar.
Sensible Daten wie Drittanbieter-Anmeldeinformationen werden in verschlüsselter Form mit einer FIPS 140-2-zertifizierten kryptografischen Bibliothek gespeichert.
8. Fehler beim Einschränken des URL-Zugriffs failure-to-restrict-url-access
Das Repository ermöglicht die Einstellung von feinabgestimmten Rechten (wie durch JCR angegeben) für jeden Benutzer bzw. jede Gruppe unter jedem beliebigen Pfad über Zugriffssteuerungseinträge. Zugriffbeschränkungen werden durch das Repository durchgesetzt.
9. Unzureichende Transportschichtsicherheit insufficient-transport-layer-protection
Dieses Risiko wird durch die Server-Konfiguration gemindert (z. B. nur HTTPS).
10. Ungeprüfte Um- und Weiterleitungen unvalidated-redirects-and-forwards
Dieses Risiko wird durch die Beschränkung aller Umleitungen an benutzerseitig bereitgestellte Ziele auf interne Standorte gemindert.