OWAS
OWASP 应用程序安全验证标准 4.0.3
控制项模式应用安全验证标准是一份应用安全需求或测试清单,可供架构师、开发人员、测试人员、安全专家、工具供应商和用户用来定义、构建、测试和验证安全应用程序。
版本: 4.0.3•覆盖状态: 完整覆盖 (286/286)•控制项/量表/总计: 286/0/286•当前展示: 6 / 286•14 个分类
V12.3.1用户提交的文件名元数据不会被系统或框架的文件系统直接使用,并且使用 URL API 来防止路径遍历控制项
Files / 文件执行
验证用户提交的文件名元数据未被系统或框架文件系统直接使用,并确保使用 URL API 来防止路径遍历。
评估
评估状态:
评估备注:
V12.3.2用户提交的文件名元数据会被验证或忽略,以防止本地文件的泄露、创建、更新或删除(LFI)控制项
Files / 文件执行
验证用户提交的文件名元数据是否经过验证或被忽略,以防止本地文件(LFI)的泄露、创建、更新或删除。
评估
评估状态:
评估备注:
V12.3.3用户提交的文件名元数据会被验证或忽略,以防止通过远程文件包含(RFI)或服务器端请求伪造(SSRF)攻击泄露或执行远程文件控制项
Files / 文件执行
验证用户提交的文件名元数据是否经过验证或被忽略,以防止通过远程文件包含(RFI)或服务器端请求伪造(SSRF)攻击泄露或执行远程文件。
评估
评估状态:
评估备注:
V12.3.4该应用通过验证或忽略用户在 JSON、JSONP 或 URL 参数中提交的文件名来防护反射式文件下载(RFD),响应的 Content-Type 头应设置为 text/plain,并且 Content-Disposition 头应使用固定的文件名控制项
Files / 文件执行
验证应用程序通过对 JSON、JSONP 或 URL 参数中用户提交的文件名进行验证或忽略,以防止反射性文件下载(RFD),响应的 Content-Type 头应设置为 text/plain,并且 Content-Disposition 头应具有固定的文件名。
评估
评估状态:
评估备注:
V12.3.5未受信任的文件元数据不会直接用于系统 API 或库,以防止操作系统命令注入控制项
Files / 文件执行
验证不可信的文件元数据是否未被直接用于系统 API 或库,以防 OS 命令注入。
评估
评估状态:
评估备注:
V12.3.6该应用程序不包含也不执行来自不受信任来源的功能,例如未经验证的内容分发网络、JavaScript 库、Node npm 库或服务器端 DLL。控制项
Files / 文件执行
确认应用程序不包含并执行来自不可信源的功能,例如未经验证的内容分发网络、JavaScript 库、Node npm 库或服务器端 DLL。
评估
评估状态:
评估备注: