OWAS
OWASP 应用程序安全验证标准 4.0.3
控制项模式应用安全验证标准是一份应用安全需求或测试清单,可供架构师、开发人员、测试人员、安全专家、工具供应商和用户用来定义、构建、测试和验证安全应用程序。
版本: 4.0.3•覆盖状态: 完整覆盖 (286/286)•控制项/量表/总计: 286/0/286•当前展示: 8 / 286•14 个分类
V11.1.1该应用程序只会按顺序处理同一用户的业务逻辑流程,且不会跳过任何步骤控制项
BusLogic / 业务逻辑安全
验证应用程序是否仅按顺序处理同一用户的业务逻辑流程,且不跳过任何步骤。
评估
评估状态:
评估备注:
V11.1.2该应用程序只会处理业务逻辑流程,并且所有步骤都会以现实人类时间进行处理,i控制项
BusLogic / 业务逻辑安全
验证应用程序只会处理所有步骤都在现实人类时间内完成的业务逻辑流程,即交易提交不会过快。
评估
评估状态:
评估备注:
V11.1.3验证应用程序是否对特定业务操作或交易设定了适当的限制,并且这些限制已正确按每个用户执行控制项
BusLogic / 业务逻辑安全
验证应用程序对特定业务操作或交易是否具有适当的限制,并且这些限制是否按每个用户正确执行。
评估
评估状态:
评估备注:
V11.1.4该应用程序具有反自动化控制,以防止过度调用,例如大规模数据外泄、业务逻辑请求、文件上传或拒绝服务攻击控制项
BusLogic / 业务逻辑安全
验证应用程序是否具有反自动化控制,以防止过度调用,例如大规模数据外泄、业务逻辑请求、文件上传或拒绝服务攻击。
评估
评估状态:
评估备注:
V11.1.5验证应用程序是否具有业务逻辑限制或验证,以防范通过威胁建模或类似方法识别出的可能业务风险或威胁控制项
BusLogic / 业务逻辑安全
验证应用程序是否具有业务逻辑限制或验证,以防护可能的业务风险或威胁,这些风险或威胁是通过威胁建模或类似方法识别的。
评估
评估状态:
评估备注:
V11.1.6该应用程序在敏感操作中不会出现“检查时间到使用时间”(TOCTOU)问题或其他竞态条件控制项
BusLogic / 业务逻辑安全
验证应用程序在敏感操作中不会出现“检查时与使用时” (TOCTOU) 问题或其他竞争条件。
评估
评估状态:
评估备注:
V11.1.7该应用程序从业务逻辑的角度监控异常事件或活动控制项
BusLogic / 业务逻辑安全
验证应用程序是否从业务逻辑角度监控异常事件或活动。例如,尝试执行不按顺序的操作或正常用户绝不会尝试的操作。(C9)
评估
评估状态:
评估备注:
V11.1.8当检测到自动攻击或异常活动时,应用程序可以配置警报控制项
BusLogic / 业务逻辑安全
验证应用程序在检测到自动化攻击或异常活动时是否具有可配置的警报功能。
评估
评估状态:
评估备注: