OWAS
OWASP 应用程序安全验证标准 4.0.3
控制项模式应用安全验证标准是一份应用安全需求或测试清单,可供架构师、开发人员、测试人员、安全专家、工具供应商和用户用来定义、构建、测试和验证安全应用程序。
版本: 4.0.3•覆盖状态: 完整覆盖 (286/286)•控制项/量表/总计: 286/0/286•当前展示: 4 / 286•14 个分类
V3.3.1注销和会话过期会使会话令牌失效,从而使返回按钮或下游依赖方无法恢复已认证的会话,包括跨依赖方的情况控制项
Session / 会话终止
验证注销和会话过期是否使会话令牌失效,以确保浏览器的后退按钮或下游依赖方不会恢复已认证的会话,包括跨依赖方的情况。(C6)
评估
评估状态:
评估备注:
V3.3.2如果身份验证器允许用户保持登录状态,请验证在积极使用或空闲一段时间后是否会定期重新进行身份验证控制项
Session / 会话终止
如果身份验证器允许用户保持登录状态,请验证在用户主动使用或闲置一段时间后,是否会定期进行重新认证。(C6)
评估
评估状态:
评估备注:
V3.3.3该应用程序提供选项,在密码成功更改后终止所有其他活跃会话(包括通过密码重置/恢复更改的情况),并且此操作在整个应用程序、联合登录(如果存在)以及任何依赖方中均有效控制项
Session / 会话终止
验证应用程序在密码成功更改后(包括通过密码重置/恢复更改时)是否提供终止所有其他活动会话的选项,并确保该选项在整个应用程序、联合登录(如果存在)以及任何依赖方中都有效。
评估
评估状态:
评估备注:
V3.3.4用户可以查看并(在重新输入登录凭据后)退出任何或所有当前活跃的会话和设备控制项
Session / 会话终止
验证用户是否能够查看并(在重新输入登录凭据后)注销任何或所有当前活跃的会话和设备。
评估
评估状态:
评估备注: