OWAS
OWASP 应用程序安全验证标准 4.0.3
控制项模式应用安全验证标准是一份应用安全需求或测试清单,可供架构师、开发人员、测试人员、安全专家、工具供应商和用户用来定义、构建、测试和验证安全应用程序。
版本: 4.0.3•覆盖状态: 完整覆盖 (286/286)•控制项/量表/总计: 286/0/286•当前展示: 6 / 286•14 个分类
V2.7.1默认情况下,不提供带外(NIST“受限”)明文身份验证方式,如短信或公共交换电话网络(PSTN),而是优先提供更强的替代方案,如推送通知。控制项
Authentication / 带外验证器
验证默认情况下不提供基于明文的带外(NIST“受限制”)认证方式,例如短信或公用交换电话网(PSTN),并且首先提供更强的替代方案,例如推送通知。
评估
评估状态:
评估备注:
V2.7.2带外验证器会在 10 分钟后使带外身份验证请求、代码或令牌失效控制项
Authentication / 带外验证器
验证带外验证器会在 10 分钟后使带外身份验证请求、代码或令牌失效。
评估
评估状态:
评估备注:
V2.7.3带外验证器的身份验证请求、代码或令牌只能使用一次,且仅用于原始身份验证请求控制项
Authentication / 带外验证器
验证带外验证器的身份验证请求、代码或令牌仅可使用一次,并且仅适用于原始身份验证请求。
评估
评估状态:
评估备注:
V2.7.4带外身份验证器和验证器通过一个独立的安全通道进行通信控制项
Authentication / 带外验证器
验证带外身份验证器和验证器是否通过安全的独立通道进行通信。
评估
评估状态:
评估备注:
V2.7.5带外验证器仅保留认证码的哈希版本控制项
Authentication / 带外验证器
验证带外验证器只保留身份验证码的哈希版本。
评估
评估状态:
评估备注:
V2.7.6初始身份验证码由安全的随机数生成器生成,至少包含20位熵(通常一个六位数的随机数就足够了)控制项
Authentication / 带外验证器
验证初始认证码是否由安全的随机数生成器生成,至少包含20位熵(通常六位数字的随机数就足够)。
评估
评估状态:
评估备注: