OWAS
OWASP 应用程序安全验证标准 4.0.3
控制项模式应用安全验证标准是一份应用安全需求或测试清单,可供架构师、开发人员、测试人员、安全专家、工具供应商和用户用来定义、构建、测试和验证安全应用程序。
版本: 4.0.3•覆盖状态: 完整覆盖 (286/286)•控制项/量表/总计: 286/0/286•当前展示: 7 / 286•14 个分类
V2.5.1系统生成的初始激活或恢复密钥不会以明文形式发送给用户控制项
Authentication / 凭证恢复
验证系统生成的初始激活或恢复密钥未以明文形式发送给用户。(C6)
评估
评估状态:
评估备注:
V2.5.2确认密码提示或基于知识的身份验证(所谓的“密保问题”)不存在控制项
Authentication / 凭证恢复
确认密码提示或基于知识的身份验证(所谓的“密保问题”)不存在。
评估
评估状态:
评估备注:
V2.5.3验证密码凭证恢复不会以任何方式泄露当前密码控制项
Authentication / 凭证恢复
验证密码凭证恢复不会以任何方式泄露当前密码。 (C6)
评估
评估状态:
评估备注:
V2.5.4验证共享或默认账户不存在(e控制项
Authentication / 凭证恢复
验证共享或默认账户不存在(例如“root”、“admin”或“sa”)。
评估
评估状态:
评估备注:
V2.5.5如果认证因素被更改或更换,用户会收到此事件的通知控制项
Authentication / 凭证恢复
确认如果身份验证因素被更改或替换,用户会收到此事件的通知。
评估
评估状态:
评估备注:
V2.5.6验证忘记的密码以及其他恢复路径时,请使用安全的恢复机制,例如基于时间的一次性密码(TOTP)或其他软令牌、移动推送或其他离线恢复机制控制项
Authentication / 凭证恢复
验证忘记的密码以及其他恢复途径时,应使用安全的恢复机制,例如基于时间的一次性密码(TOTP)或其他软令牌、移动推送或其他离线恢复机制。(C6)
评估
评估状态:
评估备注:
V2.5.7如果一次性密码或多因素身份验证因素丢失,则身份验证的证据与注册时的水平相同控制项
Authentication / 凭证恢复
确认如果OTP或多因素身份验证因素丢失,身份验证的证据应与注册时的级别相同。
评估
评估状态:
评估备注: