OWAS
OWASP 应用程序安全验证标准 4.0.3
控制项模式应用安全验证标准是一份应用安全需求或测试清单,可供架构师、开发人员、测试人员、安全专家、工具供应商和用户用来定义、构建、测试和验证安全应用程序。
版本: 4.0.3•覆盖状态: 完整覆盖 (286/286)•控制项/量表/总计: 286/0/286•当前展示: 6 / 286•14 个分类
V10.2.1应用程序源代码和第三方库不含未经授权的回传或数据收集功能控制项
Malicious / 恶意代码搜索
验证应用程序源代码和第三方库是否不包含未经授权的回传或数据收集功能。如果存在此类功能,请在收集任何数据之前获取用户的许可。
评估
评估状态:
评估备注:
V10.2.2该应用不会请求与隐私相关功能或传感器(如联系人、摄像头、麦克风或位置)不必要或过多的权限控制项
Malicious / 恶意代码搜索
验证应用程序是否不会请求与隐私相关的功能或传感器(如联系人、相机、麦克风或位置)无关的或过多的权限。
评估
评估状态:
评估备注:
V10.2.3应用程序源代码和第三方库不包含后门,例如硬编码或额外的未记录账户或密钥、代码混淆、未记录的二进制块、rootkit、反调试、不安全的调试功能,或其他过时、不安全或隐藏的功能,如果被发现可能会被恶意使用控制项
Malicious / 恶意代码搜索
验证应用程序源代码和第三方库中是否不包含后门,例如硬编码或额外的未记录账户或密钥、代码混淆、未记录的二进制模块、Rootkit 或反调试功能、不安全的调试功能,或其他过时、不安全或隐藏的功能,如果被发现可能会被恶意利用。
评估
评估状态:
评估备注:
V10.2.4通过搜索日期和时间相关的函数,应用程序源代码和第三方库中不包含时间炸弹控制项
Malicious / 恶意代码搜索
通过搜索与日期和时间相关的函数,验证应用程序源代码和第三方库中不包含定时炸弹。
评估
评估状态:
评估备注:
V10.2.5应用程序源代码和第三方库不包含恶意代码,例如切片攻击、逻辑绕过或逻辑炸弹控制项
Malicious / 恶意代码搜索
验证应用程序源代码和第三方库中是否不包含恶意代码,例如切片攻击、逻辑绕过或逻辑炸弹。
评估
评估状态:
评估备注:
V10.2.6应用程序源代码和第三方库不包含彩蛋或任何其他潜在的不希望出现的功能控制项
Malicious / 恶意代码搜索
验证应用程序的源代码和第三方库是否不包含彩蛋或其他任何潜在的不良功能。
评估
评估状态:
评估备注: