OWAS
OWASP 应用程序安全验证标准 4.0.3
控制项模式应用安全验证标准是一份应用安全需求或测试清单,可供架构师、开发人员、测试人员、安全专家、工具供应商和用户用来定义、构建、测试和验证安全应用程序。
版本: 4.0.3•覆盖状态: 完整覆盖 (286/286)•控制项/量表/总计: 286/0/286•当前展示: 6 / 286•14 个分类
V13.2.1启用的 RESTful HTTP 方法对于用户或操作来说是有效的选择,例如防止普通用户在受保护的 API 或资源上使用 DELETE 或 PUT控制项
API / RESTful 网络服务
验证启用的 RESTful HTTP 方法是否对用户或操作是有效的选择,例如防止普通用户在受保护的 API 或资源上使用 DELETE 或 PUT。
评估
评估状态:
评估备注:
V13.2.2在接受输入之前,已实施并验证了 JSON 架构验证控制项
API / RESTful 网络服务
在接受输入之前,确保已启用并验证 JSON 模式验证。
评估
评估状态:
评估备注:
V13.2.3利用 Cookie 的 RESTful Web 服务可以通过以下一种或多种方式防止跨站请求伪造(CSRF):双重提交 Cookie 模式、CSRF 随机数(nonces)或来源请求头检查控制项
API / RESTful 网络服务
验证使用 Cookie 的 RESTful 网络服务是否通过以下一种或多种方式防止跨站请求伪造 (CSRF):双重提交 Cookie 模式、CSRF 随机数(nonce)或 Origin 请求头检查。
评估
评估状态:
评估备注:
V13.2.4[已删除,重复于11]控制项
API / RESTful 网络服务
[已删除,重复 11.1.4]
评估
评估状态:
评估备注:
V13.2.5REST 服务会明确检查传入的 Content-Type 是否为预期类型,例如 application/xml 或 application/json控制项
API / RESTful 网络服务
验证 REST 服务是否明确检查传入的 Content-Type 是否为预期类型,例如 application/xml 或 application/json。
评估
评估状态:
评估备注:
V13.2.6消息头和负载是可信的,在传输过程中未被修改控制项
API / RESTful 网络服务
验证消息头和有效负载是否可信,并且在传输过程中未被修改。在许多情况下,要求传输使用强加密(仅限 TLS)可能就足够了,因为它同时提供机密性和完整性保护。每条消息的数字签名可以在传输保护的基础上为高安全性应用提供额外的保障,但同时也带来了额外的复杂性和风险,需要权衡其益处。
评估
评估状态:
评估备注: