OWAS
OWASP 应用程序安全验证标准 4.0.3
控制项模式应用安全验证标准是一份应用安全需求或测试清单,可供架构师、开发人员、测试人员、安全专家、工具供应商和用户用来定义、构建、测试和验证安全应用程序。
版本: 4.0.3•覆盖状态: 完整覆盖 (286/286)•控制项/量表/总计: 286/0/286•当前展示: 5 / 286•14 个分类
V3.4.1基于 Cookie 的会话令牌已设置“安全”属性控制项
Session / 基于 Cookie 的会话管理
验证基于 Cookie 的会话令牌是否设置了“Secure”属性。(C6)
评估
评估状态:
评估备注:
V3.4.2基于 Cookie 的会话令牌已设置 'HttpOnly' 属性控制项
Session / 基于 Cookie 的会话管理
验证基于 Cookie 的会话令牌是否设置了 'HttpOnly' 属性。(C6)
评估
评估状态:
评估备注:
V3.4.3基于 Cookie 的会话令牌使用 'SameSite' 属性来限制跨站请求伪造攻击的风险控制项
Session / 基于 Cookie 的会话管理
验证基于 Cookie 的会话令牌是否使用 “SameSite” 属性来限制跨站请求伪造攻击的风险。 (C6)
评估
评估状态:
评估备注:
V3.4.4基于 Cookie 的会话令牌使用 "__Host-" 前缀,这样 Cookie 只会发送到最初设置该 Cookie 的主机控制项
Session / 基于 Cookie 的会话管理
验证基于 Cookie 的会话令牌是否使用 "__Host-" 前缀,以便 Cookie 仅发送到最初设置该 Cookie 的主机。
评估
评估状态:
评估备注:
V3.4.5如果应用程序在与其他应用程序共用域名的情况下发布,而这些应用程序设置或使用可能泄露会话 Cookie 的会话 Cookie,请在基于 Cookie 的会话令牌中使用尽可能精确的路径设置 path 属性控制项
Session / 基于 Cookie 的会话管理
确认如果应用程序是在与其他应用程序共享的域名下发布,而这些应用程序设置或使用可能泄露会话Cookie的Cookie,则应在基于Cookie的会话令牌中使用尽可能精确的路径设置路径属性。(C6)
评估
评估状态:
评估备注: