Show Menu
TEMAS×

10 primeros OWASP

El Open Web Application Security Project (OWASP) mantiene una lista de los 10 principales riesgos de seguridad de aplicaciones Web.
A continuación se detallan estos temas, junto con una explicación de cómo CRX los trata.

1. Inyección

  • SQL: se evitó mediante diseño: La configuración predeterminada del repositorio no incluye ni requiere una base de datos tradicional; todos los datos se almacenan en el repositorio de contenido. Todo acceso está limitado a usuarios autenticados y solo se puede realizar a través de la API de JCR. SQL sólo se admite para consultas de búsqueda (SELECT). Además, SQL ofrece compatibilidad con enlace de valores.
  • LDAP: la inyección de LDAP no es posible, ya que el módulo de autenticación filtra la entrada y realiza la importación del usuario mediante el método bind.
  • SO: no se ejecuta shell desde la aplicación.

2. Secuencia de comandos entre sitios (XSS)

La práctica general de mitigación es codificar toda la salida del contenido generado por el usuario mediante una biblioteca de protección XSS del lado del servidor basada en OWASP Encoder y AntiSamy .
XSS es una prioridad principal durante las pruebas y el desarrollo, y cualquier problema que se encuentre se resuelve (normalmente) inmediatamente.

3. Autenticación y administración de sesiones dañadas

AEM utiliza técnicas de autenticación sólidas y probadas, basadas en Apache Jackrabbit y Apache Sling . Las sesiones HTTP/explorador no se utilizan en AEM.

4. Referencias de objeto directo inseguras

Todo acceso a los objetos de datos está mediado por el repositorio y, por lo tanto, restringido por el control de acceso basado en roles.

5. Falsificación de solicitudes entre sitios (CSRF)

La falsificación de solicitudes entre sitios (CSRF) se mitiga mediante la inyección automática de un token criptográfico en todos los formularios y solicitudes AJAX y la verificación de este token en el servidor para cada POST.
Además, AEM se incluye con un filtro basado en el encabezado del referente, que se puede configurar para permitir únicamente solicitudes POST de hosts incluidos específicamente en la lista blanca.

6. Error de configuración de seguridad

Es imposible garantizar que todo el software esté siempre correctamente configurado. Sin embargo, nos esforzamos por brindar la mayor orientación posible y hacer la configuración lo más simple posible. Además, AEM incluye comprobaciones de estado de seguridad integradas que le ayudan a supervisar la configuración de seguridad de un vistazo.
Revise la lista de comprobación de seguridad para obtener más información que le proporcione instrucciones de refuerzo paso a paso.

7. Almacenamiento criptográfico no seguro

Las contraseñas se almacenan como hashes criptográficos en el nodo de usuario; de forma predeterminada, el administrador y el propio usuario solo pueden leer estos nodos.
Los datos confidenciales, como las credenciales de terceros, se almacenan en forma cifrada mediante una biblioteca criptográfica certificada FIPS 140-2.

8. Error al restringir el acceso a URL

El repositorio permite la configuración de privilegios finamente arraigados (según lo especificado por JCR) para cualquier usuario o grupo determinado en cualquier ruta, a través de entradas de control de acceso. El repositorio aplica las restricciones de acceso.

9. Protección insuficiente de la capa de transporte

Mitigado por la configuración del servidor (p. ej., utilice sólo HTTPS).

10. Redirecciones y reenvíos no validados

Se ha reducido restringiendo todas las redirecciones a destinos suministrados por el usuario a ubicaciones internas.