OWAS
OWASP 应用程序安全验证标准 4.0.3
控制项模式应用安全验证标准是一份应用安全需求或测试清单,可供架构师、开发人员、测试人员、安全专家、工具供应商和用户用来定义、构建、测试和验证安全应用程序。
版本: 4.0.3•覆盖状态: 完整覆盖 (286/286)•控制项/量表/总计: 286/0/286•当前展示: 3 / 286•14 个分类
V10.3.1如果应用程序具有客户端或服务器自动更新功能,更新应通过安全通道获取并进行数字签名控制项
Malicious / 应用程序完整性
确保如果应用程序具有客户端或服务器自动更新功能,更新应通过安全通道获取并进行数字签名。更新代码在安装或执行更新之前必须验证更新的数字签名。
评估
评估状态:
评估备注:
V10.3.2该应用程序采用了完整性保护措施,例如代码签名或子资源完整性控制项
Malicious / 应用程序完整性
验证应用程序是否采用了完整性保护措施,例如代码签名或子资源完整性。应用程序不得从不受信任的来源加载或执行代码,例如从不受信任的来源或互联网加载包含文件、模块、插件、代码或库。
评估
评估状态:
评估备注:
V10.3.3如果应用程序依赖于 DNS 条目或 DNS 子域(例如已过期的域名、过时的 DNS 指针或 CNAME、公共源代码仓库中已过期的项目,或临时的云 API、无服务器函数或存储桶(*autogen-bucket-id*)),该应用程序具有防止子域接管的保护。控制项
Malicious / 应用程序完整性
如果应用程序依赖于 DNS 条目或 DNS 子域(例如过期的域名、过时的 DNS 指针或 CNAME、公共源代码仓库中的过期项目,或临时的云 API、无服务器函数或存储桶(*autogen-bucket-id*.cloud.example.com)等),请验证该应用程序是否具备防止子域接管的保护。保护措施可以包括确保应用程序使用的 DNS 名称定期检查是否过期或发生变化。
评估
评估状态:
评估备注: