OWAS
OWASP 应用程序安全验证标准 4.0.3
控制项模式应用安全验证标准是一份应用安全需求或测试清单,可供架构师、开发人员、测试人员、安全专家、工具供应商和用户用来定义、构建、测试和验证安全应用程序。
版本: 4.0.3•覆盖状态: 完整覆盖 (286/286)•控制项/量表/总计: 286/0/286•当前展示: 5 / 286•14 个分类
V5.1.1该应用程序有针对 HTTP 参数污染攻击的防护,尤其是在应用程序框架不区分请求参数来源(GET、POST、Cookie、头信息或环境变量)的情况下。控制项
Validation / 输入验证
验证应用程序是否具备防御 HTTP 参数污染攻击的能力,尤其是在应用程序框架对请求参数的来源(GET、POST、cookie、头部或环境变量)不加区分时。
评估
评估状态:
评估备注:
V5.1.2框架可以防止大规模参数赋值攻击,或者应用程序有应对不安全参数赋值的措施,例如将字段标记为私有或类似处理控制项
Validation / 输入验证
确认框架能防止批量参数分配攻击,或者应用程序有相应的防护措施来防止不安全的参数分配,例如将字段标记为私有或采取类似措施。(C5)
评估
评估状态:
评估备注:
V5.1.3所有输入(HTML 表单字段、REST 请求、URL 参数、HTTP 头、Cookie、批处理文件、RSS 源等)都使用正向验证(允许列表)进行验证控制项
Validation / 输入验证
验证所有输入(HTML 表单字段、REST 请求、URL 参数、HTTP 头、Cookie、批处理文件、RSS 源等)是否使用正向验证(允许列表)进行验证。(C5)
评估
评估状态:
评估备注:
V5.1.4结构化数据是强类型的,并根据定义的模式进行验证,包括允许的字符、长度和模式控制项
Validation / 输入验证
验证结构化数据是否为强类型,并根据定义的模式进行验证,包括允许的字符、长度和模式(例如信用卡号码、电子邮件地址、电话号码,或验证两个相关字段是否合理,例如检查郊区和邮政编码是否匹配)。(C5)
评估
评估状态:
评估备注:
V5.1.5URL 重定向和转发只允许出现在允许列表中的目标,或者在重定向到可能不可信的内容时显示警告控制项
Validation / 输入验证
验证 URL 重定向和转发仅允许出现在允许列表中的目标,或在重定向到潜在不受信任的内容时显示警告。
评估
评估状态:
评估备注: