OWASP前10名 owasp-top
此 打开Web应用程序安全项目 (OWASP)保存一份他们视为 十大Web应用程序安全风险.
下面列出了这些指标,并解释了CRX如何处理这些指标。
1.注射 injection
- SQL — 设计禁止:默认存储库设置既不包含也不需要传统数据库,所有数据都存储在内容存储库中。 所有访问仅限于经过身份验证的用户,并且只能通过JCR API执行。 仅搜索查询支持SQL (SELECT)。 此外,SQL提供值绑定支持。
- LDAP — 无法进行LDAP注入,因为身份验证模块会过滤输入并使用绑定方法执行用户导入。
- OS — 没有从应用程序内执行shell。
2.跨站点脚本(XSS) cross-site-scripting-xss
一般缓解做法是使用基于的服务器端XSS保护库对用户生成内容的所有输出进行编码 OWASP编码器 和 反萨米.
XSS是测试和开发期间的首要任务,发现的任何问题通常都会立即得到解决。
3.身份验证和会话管理中断 broken-authentication-and-session-management
AEM依靠可靠的身份验证技术, Apache Jackrabbit 和 Apache Sling. AEM中未使用浏览器/HTTP会话。
4.不安全的直接对象引用 insecure-direct-object-references
对数据对象的所有访问都由存储库进行调解,因此受基于角色的访问控制的限制。
5.跨站点请求伪造(CSRF) cross-site-request-forgery-csrf
通过自动将加密令牌注入所有表单和AJAX请求并在服务器上验证每个POST的此令牌,可缓解跨站点请求伪造(CSRF)。
此外,AEM附带有基于反向链接标题的过滤器,可以将其配置为 仅限 允许来自特定主机的POST请求(在列表中定义)。
6.安全配置错误 security-misconfiguration
无法保证所有软件的配置始终正确。 但是,Adobe努力提供尽可能多的指导,并使配置尽可能简单。 此外,AEM附带 集成安全运行状况检查 帮助您一目了然地监控安全配置。
查看 安全核对清单 有关为您提供逐步强化说明的详细信息。
7.不安全的加密存储 insecure-cryptographic-storage
密码将作为加密哈希存储在用户节点中。 默认情况下,此类节点仅可由管理员和用户自己读取。
使用FIPS 140-2认证的加密库以加密形式存储诸如第三方凭据之类的敏感数据。
8.无法限制URL访问 failure-to-restrict-url-access
存储库允许设置 细粒度权限(由JCR指定) 对于任何给定路径的任何给定用户或组,通过访问控制条目。 存储库强制执行访问限制。
9.传输层保护不足 insufficient-transport-layer-protection
通过服务器配置减轻(例如,仅使用HTTPS)。
10.未验证的重定向和转发 unvalidated-redirects-and-forwards
通过限制所有重定向到用户提供的目标的操作来缓解此问题。
recommendation-more-help
19ffd973-7af2-44d0-84b5-d547b0dffee2