Show Menu
TEMAS×

10 primeros OWASP

El Open Aplicación web Security Project (OWASP) mantiene una lista de lo que consideran los 10 Principales Riesgos de Seguridad de Aplicaciones web.
A continuación se detallan estos temas, junto con una explicación de cómo CRX los trata.

1. Inyección

  • SQL: se evitó mediante diseño: La configuración predeterminada del repositorio no incluye ni requiere una base de datos tradicional; todos los datos se almacenan en el repositorio de contenido. Todo acceso está limitado a usuarios autenticados y solo se puede realizar a través de la API de JCR. Sólo se admite SQL para consultas de búsqueda (SELECT). Además, admite el enlace de valores de ofertas SQL.
  • LDAP: no es posible la inyección de LDAP, ya que el módulo de autenticación filtros la entrada y realiza la importación del usuario mediante el método bind.
  • SO: no se ejecuta shell desde la aplicación.

2. Secuencia de comandos entre sitios (XSS)

La práctica general de mitigación es codificar toda la salida del contenido generado por el usuario mediante una biblioteca de protección XSS del lado del servidor basada en OWASP Encoder y AntiSamy .
XSS es una prioridad principal durante las pruebas y el desarrollo, y cualquier problema que se encuentre se resuelve (normalmente) inmediatamente.

3. Autenticación y administración de sesiones dañadas

AEM utiliza técnicas de autenticación sólidas y probadas, basadas en Apache Jackrabbit y Apache Sling . Las sesiones HTTP/explorador no se utilizan en AEM.

4. Referencias de objeto directo inseguras

Todo acceso a los objetos de datos está mediado por el repositorio y, por lo tanto, restringido por controles de acceso basados en roles.

5. Falsificación de solicitudes entre sitios (CSRF)

La falsificación de solicitudes entre sitios (CSRF) se mitiga mediante la inyección automática de un token criptográfico en todos los formularios y solicitudes AJAX y la verificación de este token en el servidor para cada POST.
Además, AEM incluye un filtro basado en encabezados de remitente del reenvío, que se puede configurar para permitir solosolicitudes POST de hosts específicos (definidas en una lista).

6. Error de configuración de seguridad

Es imposible garantizar que todo el software esté siempre correctamente configurado. Sin embargo, nos esforzamos por brindar la mayor orientación posible y hacer la configuración lo más simple posible. Además, AEM incluye comprobaciones de estado de seguridad integradas que le ayudan a supervisar la configuración de seguridad de un vistazo.
Revise la lista de comprobación de seguridad para obtener más información que le proporcione instrucciones de refuerzo paso a paso.

7. Almacenamiento criptográfico no seguro

Las contraseñas se almacenan como hashes criptográficos en el nodo de usuario; de forma predeterminada, el administrador y el propio usuario solo pueden leer estos nodos.
Los datos confidenciales, como las credenciales de terceros, se almacenan en forma cifrada mediante una biblioteca criptográfica certificada FIPS 140-2.

8. Error al restringir el acceso a URL

El repositorio permite la configuración de privilegios finamente arraigados (según lo especificado por JCR) para cualquier usuario o grupo determinado en cualquier ruta, a través de entradas de control de acceso. El repositorio aplica las restricciones de acceso.

9. Protección insuficiente de la capa de transporte

Mitigado por la configuración del servidor (p. ej., utilice sólo HTTPS).

10. Redirecciones y reenvíos no validados

Se ha reducido restringiendo todas las redirecciones a destinos suministrados por el usuario a ubicaciones internas.