OWAS
OWASP 应用程序安全验证标准 4.0.3
控制项模式应用安全验证标准是一份应用安全需求或测试清单,可供架构师、开发人员、测试人员、安全专家、工具供应商和用户用来定义、构建、测试和验证安全应用程序。
版本: 4.0.3•覆盖状态: 完整覆盖 (286/286)•控制项/量表/总计: 286/0/286•当前展示: 7 / 286•14 个分类
V2.2.1反自动化控制对于减轻被盗凭证测试、暴力破解和账户锁定攻击非常有效控制项
Authentication / 通用身份验证器安全
验证防自动化控制是否能有效减轻凭证被泄露测试、暴力破解和账户锁定攻击。这些控制措施包括阻止最常被攻破的密码、软锁定、速率限制、验证码、尝试之间持续增加的延迟、IP地址限制,或基于风险的限制,例如位置、设备上的首次登录、近期解锁账户的尝试或类似情况。请验证单个账户每小时的失败尝试次数不超过100次。
评估
评估状态:
评估备注:
V2.2.2弱身份验证方式(如短信和电子邮件)的使用仅限于二次验证和交易批准,而不能用作更安全身份验证方法的替代控制项
Authentication / 通用身份验证器安全
验证弱验证方法(如短信和电子邮件)的使用是否仅限于二次验证和交易批准,而不是作为更安全验证方法的替代。验证在使用弱方法之前是否提供了更强的验证方法,用户是否意识到风险,或者是否已采取适当措施来限制账户被入侵的风险。
评估
评估状态:
评估备注:
V2.2.3在身份验证详细信息更新后(例如凭证重置、电子邮件或地址更改、从未知或高风险位置登录),会向用户发送安全通知控制项
Authentication / 通用身份验证器安全
验证在更新认证信息后(如凭证重置、邮箱或地址更改、从未知或有风险的位置登录)是否向用户发送安全通知。优先使用推送通知而非短信或电子邮件,但在没有推送通知的情况下,短信或电子邮件也是可以接受的,只要通知中不泄露敏感信息。
评估
评估状态:
评估备注:
V2.2.4验证针对网络钓鱼的冒充抵抗能力,例如使用多因素认证、具意图的加密设备(如带有推送认证的连接密钥),或在更高级的AAL级别使用客户端证书控制项
Authentication / 通用身份验证器安全
验证防止网络钓鱼的冒充抵抗措施,例如使用多因素认证、带有意图的加密设备(如带有按压认证功能的连接密钥),或在更高的AAL级别使用客户端证书。
评估
评估状态:
评估备注:
V2.2.5当凭证服务提供商(CSP)与进行身份验证的应用程序分开时,双方端点之间应建立相互认证的 TLS控制项
Authentication / 通用身份验证器安全
验证在凭证服务提供商(CSP)与验证身份的应用程序分离的情况下,两端点之间是否已建立相互认证的 TLS。
评估
评估状态:
评估备注:
V2.2.6通过强制使用一次性密码(OTP)设备、加密认证器或查找码来验证重放抵抗能力控制项
Authentication / 通用身份验证器安全
通过强制使用一次性密码(OTP)设备、加密认证器或查询代码来验证重放抵抗能力。
评估
评估状态:
评估备注:
V2.2.7通过要求输入一次性密码(OTP)令牌或用户发起的操作(如按下 FIDO 硬件密钥上的按钮)来验证身份验证意图控制项
Authentication / 通用身份验证器安全
通过要求输入一次性密码(OTP)令牌或用户发起的操作(例如按下 FIDO 硬件钥匙上的按钮)来验证身份认证意图。
评估
评估状态:
评估备注: