OWAS
OWASP 应用程序安全验证标准 4.0.3
控制项模式应用安全验证标准是一份应用安全需求或测试清单,可供架构师、开发人员、测试人员、安全专家、工具供应商和用户用来定义、构建、测试和验证安全应用程序。
版本: 4.0.3•覆盖状态: 完整覆盖 (286/286)•控制项/量表/总计: 286/0/286•当前展示: 5 / 286•14 个分类
V4.1.1该应用程序在受信任的服务层上实施访问控制规则,特别是当客户端存在访问控制且可能被绕过时控制项
Access / 通用访问控制设计
验证应用程序是否在可信服务层上强制执行访问控制规则,特别是在存在客户端访问控制且可能被绕过的情况下。
评估
评估状态:
评估备注:
V4.1.2除非获得专门授权,否则访问控制使用的所有用户和数据属性及策略信息都不能被终端用户操作控制项
Access / 通用访问控制设计
验证访问控制使用的所有用户和数据属性以及策略信息,除非有明确授权,否则不能被终端用户操纵。
评估
评估状态:
评估备注:
V4.1.3最小权限原则存在——用户应该只能访问他们被明确授权的功能、数据文件、网址、控制器、服务及其他资源控制项
Access / 通用访问控制设计
验证最小权限原则是否存在——用户只能访问其具有特定授权的功能、数据文件、URL、控制器、服务和其他资源。这意味着要防护欺骗和权限提升。 (C7)
评估
评估状态:
评估备注:
V4.1.4[已删除,重复于4]控制项
Access / 通用访问控制设计
[已删除,重复 4.1.3]
评估
评估状态:
评估备注:
V4.1.5访问控制在发生异常时也能安全失效控制项
Access / 通用访问控制设计
验证访问控制在出现异常时也能安全失败。(C10)
评估
评估状态:
评估备注: