OWAS
OWASP 应用程序安全验证标准 4.0.3
控制项模式应用安全验证标准是一份应用安全需求或测试清单,可供架构师、开发人员、测试人员、安全专家、工具供应商和用户用来定义、构建、测试和验证安全应用程序。
版本: 4.0.3•覆盖状态: 完整覆盖 (286/286)•控制项/量表/总计: 286/0/286•当前展示: 4 / 286•14 个分类
V2.10.1服务内部的机密不依赖于不变的凭证,如密码、API 密钥或具有特权访问权限的共享账户控制项
Authentication / 服务认证
确保服务内部的秘密不依赖于不变的凭证,例如密码、API 密钥或具有特权访问权限的共享账户。
评估
评估状态:
评估备注:
V2.10.2如果服务认证需要密码,则使用的服务账户不是默认凭据控制项
Authentication / 服务认证
请确保如果服务身份验证需要密码,所使用的服务账户不是默认凭据。(例如,在某些服务安装期间,root/root 或 admin/admin 是默认账户)。
评估
评估状态:
评估备注:
V2.10.3密码以足够的保护方式存储,以防止包括本地系统访问在内的离线恢复攻击控制项
Authentication / 服务认证
验证密码是否以足够的保护方式存储,以防止离线恢复攻击,包括本地系统访问。
评估
评估状态:
评估备注:
V2.10.4验证密码、与数据库和第三方系统的集成、种子和内部密钥以及 API 密钥是否安全管理,并且不包含在源代码中或存储在源代码仓库中控制项
Authentication / 服务认证
验证密码、与数据库和第三方系统的集成、种子和内部密钥,以及 API 密钥是否安全管理,并且不包含在源代码中或存储在源代码仓库中。这类存储应能够抵御离线攻击。建议使用安全的软件密钥存储(L1)、硬件 TPM 或 HSM(L3)来存储密码。
评估
评估状态:
评估备注: