OWASP Top 10
Cum adresăm fiecare categorie din OWASP Top 10 prin protecțiile framework-ului și controale suplimentare
Abordare
Platforma SSM.ro utilizează un framework web modern cu protecții built-in împotriva categoriilor principale din OWASP Top 10. Controalele suplimentare la nivel de aplicație, platformă și dependențe completează acoperirea.
Protecții per Categorie OWASP
| Categorie OWASP | Control(e) în vigoare |
|---|---|
| A01 Broken Access Control | RBAC aplicat server-side la fiecare cerere; izolare tenant la nivelul query-urilor bazei de date; verificare subdomain; nicio autorizare bazată exclusiv pe UI |
| A02 Cryptographic Failures | TLS 1.2+ enforced pe tot traficul; criptare la repaus pe toate componentele (Postgres, S3, Redis, CloudWatch); HSTS activat |
| A03 Injection (SQL, etc.) | Interogări de baze de date parametrizate — nicio concatenare de string în query-uri; input-ul utilizatorului nu ajunge niciodată neprocesat în interogări SQL |
| A04 Insecure Design | Modelare arhitecturală cu izolare tenant de la proiectare; signing cu minimizare date (de regulă doar hash-ul documentului ajunge la furnizorul de semnătură electronică; documentul integral doar dacă furnizorul impune transmiterea documentului complet) |
| A05 Security Misconfiguration | Headere de securitate configurate aplicație-wide: HSTS, X-Frame-Options, X-Content-Type-Options, X-XSS-Protection, Referrer-Policy; HTTPS forțat în producție |
| A06 Vulnerable and Outdated Components | Analiză statică a codului (SAST) și scanare SCA dependențe rulate continuu; SLA-uri de remediere definite (Critical 7 zile, High 30 zile) |
| A07 Identification and Authentication Failures | Blocare cont după tentative eșuate repetate; timeout sesiune (30 min); audit autentificări; politică parolă (8–128 caractere); 2FA TOTP opțional |
| A08 Software and Data Integrity Failures | Branch protection GitHub (PR review obligatoriu pe main); release-uri versionate Heroku cu rollback; analiză statică la fiecare build |
| A09 Security Logging and Monitoring Failures | New Relic APM + alerte pe rate de erori; Sentry monitorizare excepții runtime; CloudWatch Logs pentru audit semnare (5 ani); log-uri activitate client în Postgres (3 luni) |
| A10 Server-Side Request Forgery (SSRF) | Verificare token CSRF pe orice cerere de modificare stare; auto-escaping output HTML (XSS) |
Controale Perimetrale Suplimentare
Model Enterprise (Dedicat)
În infrastructura AWS dedicată per client este disponibil opțional un control perimetral gestionat de AWS:
- AWS WAF — Web Application Firewall în fața aplicației, cu reguli managed (inclusiv OWASP Top 10 / common rule sets), rate limiting și filtrare la nivel de cerere
Acest serviciu se activează la cerere, în funcție de cerințele de securitate ale clientului.
XSS (Cross-Site Scripting)
Auto-escaping HTML — sistemul de templating al platformei escape-uiește automat orice output HTML, prevenind injecția de scripturi din date utilizator.
CSRF (Cross-Site Request Forgery)
Token CSRF verificat pe orice cerere de modificare stare — token-ul este generat și validat automat de framework. O cerere fără token valid este respinsă.
Upload Fișiere
Fișierele uploadate sunt validate la mai multe niveluri:
- Exclusiv extensii de fișier permise (whitelist)
- Limite de dimensiune fișier aplicate
- Verificare tip MIME pentru uploadere sensibile
Aceasta previne upload-ul de fișiere malițioase sau a unor tipuri de fișiere neașteptate.
Validare Input
Input-ul utilizatorului este explicit validat și filtrat (allow-listed) înainte de a fi utilizat în operațiuni pe baza de date, prevenind manipularea parametrilor și alte forme de injecție.