OWAS
OWASP 应用程序安全验证标准 4.0.3
控制项模式应用安全验证标准是一份应用安全需求或测试清单,可供架构师、开发人员、测试人员、安全专家、工具供应商和用户用来定义、构建、测试和验证安全应用程序。
版本: 4.0.3•覆盖状态: 完整覆盖 (286/286)•控制项/量表/总计: 286/0/286•当前展示: 4 / 286•14 个分类
V14.5.1应用服务器仅接受应用程序/API 正在使用的 HTTP 方法,包括预检的 OPTIONS,并对任何不符合应用程序上下文的请求进行记录/警报控制项
Config / HTTP请求头验证
验证应用服务器仅接受应用程序/API 使用的 HTTP 方法,包括预检 OPTIONS,并记录/报警任何对应用程序上下文无效的请求。
评估
评估状态:
评估备注:
V14.5.2提供的 Origin 头部不用于身份验证或访问控制决策,因为攻击者可以轻易更改 Origin 头部控制项
Config / HTTP请求头验证
确认提供的 Origin 头未被用于身份验证或访问控制决策,因为 Origin 头很容易被攻击者篡改。
评估
评估状态:
评估备注:
V14.5.3跨源资源共享(CORS)的 Access-Control-Allow-Origin 头使用受信任域名和子域名的严格允许列表进行匹配,并且不支持“null”源控制项
Config / HTTP请求头验证
验证跨源资源共享(CORS)Access-Control-Allow-Origin 头是否使用严格的允许列表来匹配受信任的域名和子域名,并且不支持“null”来源。
评估
评估状态:
评估备注:
V14.5.4由受信任的代理或单点登录设备添加的 HTTP 头,例如承载令牌,由应用程序进行身份验证控制项
Config / HTTP请求头验证
验证由可信代理或 SSO 设备添加的 HTTP 头,例如承载令牌,是否已被应用程序认证。
评估
评估状态:
评估备注: