OWASP Top 10 — bezpecnost webovych aplikaci

Prosli jsme audit u externiho penetracniho testera a vysledek byl poucny. OWASP Top 10 je minimum, ne maximum.

SQL Injection¶

Stale cislo jedna. V JPA: parametrizovane dotazy. Nikdy JPQL s uzivatelskym vstupem. Pro native SQL: PreparedStatement, nikdy Statement.

Output encoding — kazdy vystup do HTML escapovany. V JSF default (EL expressions). Pozor na h:outputText s escape=false.

CSRF token v kazdem formulari. JSF ma CSRF ochranu zabudovanou (ViewState). Pro REST API: custom token v HTTP header.

HTTPS everywhere. Cookie flags: Secure, HttpOnly, SameSite. Session timeout 30 minut (15 pro bankovni). Session ID regenerace po prihlaseni.

Apache reverse proxy pridava: X-Frame-Options, X-Content-Type-Options, Strict-Transport-Security.

Kazda aplikace musi projit bezpecnostnim auditem. Interni code review nestaci — potrebujete externi penetracni test.

owaspsecurityjavaweb

Sdílet:

Stavíme core systémy a AI agenty, které drží provoz. 15 let zkušeností s enterprise IT.

Naši experti vám pomohou s návrhem, implementací i provozem. Od architektury po produkci.

Potřebujete pomoc s implementací? Domluvit schůzku