_CORE
Služby
AI & Agentic Systems Core Informační Systémy Cloud & Platform Engineering Data Platforma & Integrace Security & Compliance QA, Testing & Observability IoT, Automatizace & Robotika Mobile & Digital
Odvětví
Banky & Finance Pojišťovnictví Veřejná správa Obrana & Bezpečnost Zdravotnictví Energetika & Utility Telco & Média Průmysl & Výroba Logistika & E-commerce Retail & Loyalty
Reference Technologie Blog Knowledge Base O nás Spolupráce Kariéra
Pojďme to probrat

OWASP Top 10 — bezpecnost webovych aplikaci

23. 04. 2013 1 min čtení CORE SYSTEMSsecurity

Prosli jsme audit u externiho penetracniho testera a vysledek byl poucny. OWASP Top 10 je minimum, ne maximum.

SQL Injection

Stale cislo jedna. V JPA: parametrizovane dotazy. Nikdy JPQL s uzivatelskym vstupem. Pro native SQL: PreparedStatement, nikdy Statement.

XSS

Output encoding — kazdy vystup do HTML escapovany. V JSF default (EL expressions). Pozor na h:outputText s escape=false.

CSRF

CSRF token v kazdem formulari. JSF ma CSRF ochranu zabudovanou (ViewState). Pro REST API: custom token v HTTP header.

Session Management

HTTPS everywhere. Cookie flags: Secure, HttpOnly, SameSite. Session timeout 30 minut (15 pro bankovni). Session ID regenerace po prihlaseni.

Security Headers

Apache reverse proxy pridava: X-Frame-Options, X-Content-Type-Options, Strict-Transport-Security.

Pouceni

Kazda aplikace musi projit bezpecnostnim auditem. Interni code review nestaci — potrebujete externi penetracni test.

owaspsecurityjavaweb

Související články

SSL/TLS certifikaty v Java aplikacich

Sprava SSL certifikatu v Java keystores. Keytool, truststore, mutual TLS a caste problemy s HTTPS.

Penetracni testy — co jsme se naucili

Prvni externi penetracni test nasi aplikace. Nalez, remediace a lessons learned.

CSRF ochrana — Cross-Site Request Forgery

Jak funguje CSRF útok a jak se bránit. Token, SameSite cookies, Double Submit.