OWAS
OWASP 应用程序安全验证标准 4.0.3
控制项模式应用安全验证标准是一份应用安全需求或测试清单,可供架构师、开发人员、测试人员、安全专家、工具供应商和用户用来定义、构建、测试和验证安全应用程序。
版本: 4.0.3•覆盖状态: 完整覆盖 (286/286)•控制项/量表/总计: 286/0/286•当前展示: 12 / 286•14 个分类
V2.1.1用户设置的密码长度至少为12个字符(多个空格合并后)控制项
Authentication / 密码安全
验证用户设置的密码长度至少为12个字符(合并多个空格后)。(C6)
评估
评估状态:
评估备注:
V2.1.2允许使用至少64个字符的密码,但超过128个字符的密码将被拒绝控制项
Authentication / 密码安全
验证是否允许至少64个字符的密码,以及是否拒绝超过128个字符的密码。(C6)
评估
评估状态:
评估备注:
V2.1.3密码不会被截断控制项
Authentication / 密码安全
确认密码未被截断。但是,连续的多个空格可能会被替换为一个空格。(C6)
评估
评估状态:
评估备注:
V2.1.4密码中允许使用任何可打印的 Unicode 字符,包括诸如空格和表情符号等语言中性字符控制项
Authentication / 密码安全
验证密码中允许使用任何可打印的 Unicode 字符,包括空格和表情符号等语言中性字符。
评估
评估状态:
评估备注:
V2.1.5验证用户是否可以更改他们的密码控制项
Authentication / 密码安全
验证用户能否更改他们的密码。
评估
评估状态:
评估备注:
V2.1.6更改密码功能需要用户提供当前密码和新密码控制项
Authentication / 密码安全
验证密码更改功能是否需要用户的当前密码和新密码。
评估
评估状态:
评估备注:
V2.1.7在账户注册、登录和密码更改期间提交的密码会根据一组泄露密码进行检查,这可以在本地进行(例如,系统密码策略下的最常用1,000或10,000个密码)或使用外部API进行检查控制项
Authentication / 密码安全
验证在账户注册、登录和密码更改过程中提交的密码是否与一组已泄露的密码进行核对,可以在本地进行(例如与系统密码策略匹配的前1000或10000个最常用密码)或使用外部API进行核对。如果使用 API,应使用零知识证明或其他机制以确保明文密码不会被发送或用于验证密码是否被泄露。如果密码已被泄露,应用程序必须要求用户设置一个新的未泄露密码。(C6)
评估
评估状态:
评估备注:
V2.1.8提供密码强度测量器以帮助用户设置更强的密码控制项
Authentication / 密码安全
确认提供密码强度测量工具,以帮助用户设置更强的密码。
评估
评估状态:
评估备注:
V2.1.9没有限制密码字符类型的组合规则控制项
Authentication / 密码安全
验证是否没有限制允许字符类型的密码组成规则。密码不应要求包含大写或小写字母、数字或特殊字符。(C6)
评估
评估状态:
评估备注:
V2.1.10没有定期凭证更换或密码历史要求控制项
Authentication / 密码安全
确认没有定期凭证轮换或密码历史记录要求。
评估
评估状态:
评估备注:
V2.1.11允许使用“粘贴”功能、浏览器密码助手和外部密码管理器控制项
Authentication / 密码安全
确认允许使用“粘贴”功能、浏览器密码助手和外部密码管理器。
评估
评估状态:
评估备注:
V2.1.12用户可以选择暂时查看整个被遮挡的密码,或者在不具备此内置功能的平台上暂时查看密码的最后一个输入字符控制项
Authentication / 密码安全
确认用户能够选择临时查看整个被掩码的密码,或者在不具备此内置功能的平台上临时查看密码的最后一个输入字符。
评估
评估状态:
评估备注: