Prosli jsme audit u externiho penetracniho testera a vysledek byl poucny. OWASP Top 10 je minimum, ne maximum.
SQL Injection¶
Stale cislo jedna. V JPA: parametrizovane dotazy. Nikdy JPQL s uzivatelskym vstupem. Pro native SQL: PreparedStatement, nikdy Statement.
XSS¶
Output encoding — kazdy vystup do HTML escapovany. V JSF default (EL expressions). Pozor na h:outputText s escape=false.
CSRF¶
CSRF token v kazdem formulari. JSF ma CSRF ochranu zabudovanou (ViewState). Pro REST API: custom token v HTTP header.
Session Management¶
HTTPS everywhere. Cookie flags: Secure, HttpOnly, SameSite. Session timeout 30 minut (15 pro bankovni). Session ID regenerace po prihlaseni.
Security Headers¶
Apache reverse proxy pridava: X-Frame-Options, X-Content-Type-Options, Strict-Transport-Security.
Pouceni¶
Kazda aplikace musi projit bezpecnostnim auditem. Interni code review nestaci — potrebujete externi penetracni test.
Brauchen Sie Hilfe bei der Implementierung?
Unsere Experten helfen Ihnen bei Design, Implementierung und Betrieb. Von der Architektur bis zur Produktion.
Kontaktieren Sie uns