Principales 10 de OWASP owasp-top
El Abrir proyecto de seguridad de aplicación web (OWASP) mantiene una lista de lo que consideran el Diez riesgos principales de seguridad de aplicaciones web.
A continuación se enumeran, junto con una explicación de cómo CRX los trata.
1. Inyección injection
- SQL: evitado por diseño: la configuración predeterminada del repositorio no incluye ni requiere una base de datos tradicional, todos los datos se almacenan en el repositorio de contenido. Todo el acceso está limitado a usuarios autenticados y solo se puede realizar a través de la API de JCR. SQL solo se admite para consultas de búsqueda (SELECT). Además, SQL ofrece compatibilidad con enlaces de valores.
- LDAP: no es posible la inyección de LDAP, ya que el módulo de autenticación filtra la entrada y realiza la importación del usuario mediante el método bind.
- SO: no se realiza ninguna ejecución de shell desde la aplicación.
2. Scripts entre sitios (XSS) cross-site-scripting-xss
La práctica general de mitigación es codificar todos los resultados del contenido generado por el usuario mediante una biblioteca de protección XSS del lado del servidor basada en Codificador OWASP y AntiSamy.
XSS es una prioridad principal tanto durante las pruebas como durante el desarrollo, y los problemas encontrados se resuelven (normalmente) inmediatamente.
3. Autenticación rota y administración de sesión broken-authentication-and-session-management
AEM utiliza técnicas de autenticación sólidas y comprobadas, basadas en Apache Jackrabbit y Apache Sling. AEM Las sesiones de explorador/HTTP no se utilizan en las sesiones de.
4. Referencias de objeto directo no seguras insecure-direct-object-references
Todo acceso a los objetos de datos está mediado por el repositorio y, por lo tanto, restringido por el control de acceso basado en roles.
5. Falsificación de solicitudes entre sitios (CSRF) cross-site-request-forgery-csrf
AJAX La falsificación de solicitudes entre sitios (CSRF) se mitiga mediante la inyección automática de un token criptográfico en todas las solicitudes de formularios y y la verificación de este token en el servidor para cada POST.
AEM Además, se envía con un filtro basado en el encabezado de referente, que se puede configurar para que utilice solamente permitir solicitudes de POST de hosts específicos (definidos en una lista).
6. Configuración incorrecta de seguridad security-misconfiguration
Es imposible garantizar que todo el software esté siempre correctamente configurado. Sin embargo, Adobe se esfuerza por proporcionar la mayor orientación posible y hacer que la configuración sea lo más sencilla posible. AEM Además, se envía a los buques con Comprobaciones de estado de seguridad integradas que le ayudarán a supervisar la configuración de seguridad de un vistazo.
Revise la Lista de comprobación de seguridad para obtener más información, que le proporciona instrucciones de protección paso a paso.
7. Almacenamiento criptográfico no seguro insecure-cryptographic-storage
Las contraseñas se almacenan como hashes criptográficos en el nodo del usuario. De forma predeterminada, estos nodos solo los pueden leer el administrador y el propio usuario.
Los datos confidenciales, como las credenciales de terceros, se almacenan en forma cifrada mediante una biblioteca criptográfica certificada FIPS 140-2.
8. Error al restringir el acceso a la URL failure-to-restrict-url-access
El repositorio permite la configuración de privilegios muy específicos (según lo especificado por JCR) para un usuario o grupo determinado en cualquier ruta determinada, mediante entradas de control de acceso. El repositorio aplica las restricciones de acceso.
9. Protección insuficiente de la capa de transporte insufficient-transport-layer-protection
Mitigado por la configuración del servidor (por ejemplo, utilice solo HTTPS).
10. Redirecciones y reenvíos sin validar unvalidated-redirects-and-forwards
Se ha mitigado restringiendo todas las redirecciones a destinos proporcionados por el usuario a ubicaciones internas.