OWAS
OWASP 应用程序安全验证标准 4.0.3
控制项模式应用安全验证标准是一份应用安全需求或测试清单,可供架构师、开发人员、测试人员、安全专家、工具供应商和用户用来定义、构建、测试和验证安全应用程序。
版本: 4.0.3•覆盖状态: 完整覆盖 (286/286)•控制项/量表/总计: 286/0/286•当前展示: 10 / 286•14 个分类
V4.1.1该应用程序在受信任的服务层上实施访问控制规则,特别是当客户端存在访问控制且可能被绕过时控制项
Access / 通用访问控制设计
验证应用程序是否在可信服务层上强制执行访问控制规则,特别是在存在客户端访问控制且可能被绕过的情况下。
评估
评估状态:
评估备注:
V4.1.2除非获得专门授权,否则访问控制使用的所有用户和数据属性及策略信息都不能被终端用户操作控制项
Access / 通用访问控制设计
验证访问控制使用的所有用户和数据属性以及策略信息,除非有明确授权,否则不能被终端用户操纵。
评估
评估状态:
评估备注:
V4.1.3最小权限原则存在——用户应该只能访问他们被明确授权的功能、数据文件、网址、控制器、服务及其他资源控制项
Access / 通用访问控制设计
验证最小权限原则是否存在——用户只能访问其具有特定授权的功能、数据文件、URL、控制器、服务和其他资源。这意味着要防护欺骗和权限提升。 (C7)
评估
评估状态:
评估备注:
V4.1.4[已删除,重复于4]控制项
Access / 通用访问控制设计
[已删除,重复 4.1.3]
评估
评估状态:
评估备注:
V4.1.5访问控制在发生异常时也能安全失效控制项
Access / 通用访问控制设计
验证访问控制在出现异常时也能安全失败。(C10)
评估
评估状态:
评估备注:
V4.2.1敏感数据和 API 受到针对创建、读取、更新和删除记录的直接对象引用不安全(IDOR)攻击的保护,例如创建或更新他人的记录、查看所有人的记录或删除所有记录控制项
Access / 操作级访问控制
验证敏感数据和 API 是否受到针对记录的创建、读取、更新和删除的不安全直接对象引用 (IDOR) 攻击的保护,例如创建或更新他人的记录、查看所有人的记录或删除所有记录。
评估
评估状态:
评估备注:
V4.2.2该应用程序或框架实施了强有力的反CSRF机制来保护已认证的功能,并且有效的反自动化或反CSRF机制保护未认证的功能控制项
Access / 操作级访问控制
验证应用程序或框架是否实施了强大的反CSRF机制以保护已认证的功能,并且有效的反自动化或反CSRF机制能够保护未认证的功能。
评估
评估状态:
评估备注:
V4.3.1验证管理界面是否使用适当的多因素身份验证以防止未经授权的使用控制项
Access / 其他访问控制注意事项
验证管理界面是否使用适当的多因素身份验证以防止未经授权的使用。
评估
评估状态:
评估备注:
V4.3.2除非有意启用,否则目录浏览被禁用控制项
Access / 其他访问控制注意事项
确保目录浏览已被禁用,除非是有意为之。此外,应用程序不应允许发现或泄露文件或目录的元数据,例如 Thumbs.db、.DS_Store、.git 或 .svn 文件夹。
评估
评估状态:
评估备注:
V4.3.3验证应用程序是否对低价值系统具有额外授权(例如升级或自适应身份验证),以及/或对高价值应用程序进行职能分离,以根据应用程序的风险和以往的欺诈情况实施反欺诈控制控制项
Access / 其他访问控制注意事项
确认应用程序对于低价值系统具有额外的授权(例如升级认证或自适应认证),并且/或者对高价值应用程序实施职责分离,以根据应用程序的风险和以往的欺诈情况执行反欺诈控制。
评估
评估状态:
评估备注: