OWASP前10名 owasp-top
此 開啟Web應用程式安全項目 (OWASP)保留一份他們認為 10大Web應用程式安全風險.
下面列出了這些檔案,以及CRX如何處理這些檔案的說明。
1.注射 injection
- SQL — 設計阻止:預設儲存庫設定既不包括也不要求傳統資料庫,所有資料都儲存在內容儲存庫中。 所有存取權限僅限已驗證的使用者,且只能透過JCR API執行。 僅搜索查詢(SELECT)支援SQL。 此外,SQL還提供值綁定支援。
- LDAP — 無法插入LDAP,因為驗證模組會篩選輸入,並使用捆綁方法執行用戶導入。
- OS — 應用程式內未執行任何殼層執行。
2.跨網站指令碼(XSS) cross-site-scripting-xss
一般的緩解做法是使用基於的伺服器端XSS保護庫,對用戶生成內容的所有輸出進行編碼 OWASP編碼器 和 AntiSamy.
在測試和開發期間,XSS都是最優先順序,而發現的任何問題(通常)都可立即解決。
3.失效驗證和會話管理 broken-authentication-and-session-management
AEM使用聲音和經驗證的驗證技術, 阿帕奇·傑克拉布特 和 Apache Sling. AEM中未使用瀏覽器/HTTP工作階段。
4.不安全的直接對象引用 insecure-direct-object-references
對資料對象的所有訪問都由儲存庫介導,因此受基於角色的訪問控制的限制。
5.跨網站請求偽造(CSRF) cross-site-request-forgery-csrf
自動將密碼編譯Token插入所有表單和AJAX請求,並針對每個POST在伺服器上驗證此Token,借此緩解跨網站請求偽造(CSRF)。
此外,AEM也隨附反向連結標題型篩選器,此篩選器可設定為 僅限 允許來自特定主機的POST請求(在清單中定義)。
6.安全配置錯誤 security-misconfiguration
無法保證所有軟體都始終正確配置。 然而,我們努力提供盡可能多的指導,並盡可能簡化配置。 此外,AEM隨附 整合的Security Healthchecks 可協助您快速監控安全設定。
請查看 安全性檢查清單 以取得逐步強化指示的詳細資訊。
7.不安全的加密儲存 insecure-cryptographic-storage
密碼儲存為用戶節點中的加密哈希;預設情況下,這些節點僅由管理員和用戶自己讀取。
敏感資料(如第三方憑證)使用經FIPS 140-2認證的加密庫以加密形式儲存。
8.未能限制URL存取 failure-to-restrict-url-access
存放庫可讓 微調權限(如JCR所指定) 對於任何指定路徑上的任何給定用戶或組,通過訪問控制項。 存取限制由存放庫強制執行。
9.傳輸層保護不足 insufficient-transport-layer-protection
由伺服器配置緩解(例如僅使用HTTPS)。
10.未驗證的重定向和轉發 unvalidated-redirects-and-forwards
限制使用者提供目的地的所有重新導向至內部位置,借此緩解。
recommendation-more-help
5ce3024a-cbea-458b-8b2f-f9b8dda516e8