OWAS
OWASP 应用程序安全验证标准 4.0.3
控制项模式应用安全验证标准是一份应用安全需求或测试清单,可供架构师、开发人员、测试人员、安全专家、工具供应商和用户用来定义、构建、测试和验证安全应用程序。
版本: 4.0.3•覆盖状态: 完整覆盖 (286/286)•控制项/量表/总计: 286/0/286•当前展示: 5 / 286•14 个分类
V13.1.1所有应用程序组件使用相同的编码和解析器,以避免利用不同 URI 或文件解析行为的解析攻击,这些攻击可能被用于 SSRF 和 RFI 攻击控制项
API / 通用网络服务安全
请确保所有应用程序组件使用相同的编码和解析器,以避免利用不同 URI 或文件解析行为的解析攻击,这类攻击可能被用于 SSRF 和 RFI 攻击。
评估
评估状态:
评估备注:
V13.1.2[已删除,重复于4]控制项
API / 通用网络服务安全
[已删除,重复 4.3.1]
评估
评估状态:
评估备注:
V13.1.3验证 API URL 不会泄露敏感信息,例如 API 密钥、会话令牌等控制项
API / 通用网络服务安全
验证 API URL 不会暴露敏感信息,例如 API 密钥、会话令牌等。
评估
评估状态:
评估备注:
V13.1.4授权决策在两个层面上做出:URI层面,由控制器或路由器上的程序化或声明式安全执行;资源层面,由基于模型的权限执行控制项
API / 通用网络服务安全
确认授权决策在 URI 层面(由控制器或路由器通过编程或声明式安全执行)和资源层面(由基于模型的权限执行)都已做出。
评估
评估状态:
评估备注:
V13.1.5含有意外或缺失内容类型的请求将被拒绝,并返回相应的头信息(HTTP 响应状态 406 不可接受或 415 不支持的媒体类型)控制项
API / 通用网络服务安全
验证包含意外或缺失内容类型的请求是否被拒绝,并返回适当的头信息(HTTP 响应状态 406 不可接受或 415 不支持的媒体类型)。
评估
评估状态:
评估备注: