OWAS
OWASP 应用程序安全验证标准 4.0.3
控制项模式应用安全验证标准是一份应用安全需求或测试清单,可供架构师、开发人员、测试人员、安全专家、工具供应商和用户用来定义、构建、测试和验证安全应用程序。
版本: 4.0.3•覆盖状态: 完整覆盖 (286/286)•控制项/量表/总计: 286/0/286•当前展示: 8 / 286•14 个分类
V5.2.1来自所见即所得编辑器或类似工具的所有不可信 HTML 输入都通过 HTML 消毒库或框架功能进行了适当的清理控制项
Validation / 清理与沙箱化
确认来自所见即所得编辑器或类似工具的所有不受信任的 HTML 输入已通过 HTML 消毒库或框架功能正确消毒。(C5)
评估
评估状态:
评估备注:
V5.2.2非结构化数据经过净化以执行安全措施,例如允许的字符和长度控制项
Validation / 清理与沙箱化
验证非结构化数据已被清理,以执行安全措施,例如允许的字符和长度。
评估
评估状态:
评估备注:
V5.2.3该应用在将用户输入传递到邮件系统之前会进行清理,以防止 SMTP 或 IMAP 注入控制项
Validation / 清理与沙箱化
验证应用程序在将用户输入传递给邮件系统之前是否进行了清理,以防止 SMTP 或 IMAP 注入。
评估
评估状态:
评估备注:
V5.2.4该应用程序避免使用 eval() 或其他动态代码执行功能控制项
Validation / 清理与沙箱化
确保应用程序避免使用 eval() 或其他动态代码执行功能。如果没有替代方案,任何包含的用户输入必须在执行前进行清理或沙箱处理。
评估
评估状态:
评估备注:
V5.2.5该应用通过确保任何被包含的用户输入都经过清理或沙箱处理,从而防止模板注入攻击。控制项
Validation / 清理与沙箱化
通过确保任何被包含的用户输入都经过清理或沙箱处理,来验证应用程序防护模板注入攻击的能力。
评估
评估状态:
评估备注:
V5.2.6该应用程序通过验证或清理不可信的数据或 HTTP 文件元数据(例如文件名和 URL 输入字段),并使用协议、域名、路径和端口的允许列表,从而防止 SSRF 攻击控制项
Validation / 清理与沙箱化
验证应用程序是否能够防护 SSRF 攻击,通过验证或清理不可信的数据或 HTTP 文件元数据,如文件名和 URL 输入字段,并使用协议、域名、路径和端口的允许列表。
评估
评估状态:
评估备注:
V5.2.7该应用程序清理、禁用或沙箱处理用户提供的可脚本化可缩放矢量图形(SVG)内容,特别是与由内联脚本和 foreignObject 导致的 XSS 相关的内容控制项
Validation / 清理与沙箱化
验证应用程序是否对用户提供的可缩放矢量图形(SVG)可脚本内容进行清理、禁用或沙箱处理,特别是与由内联脚本和 foreignObject 引起的跨站脚本(XSS)相关的内容。
评估
评估状态:
评估备注:
V5.2.8该应用程序会清理、禁用或沙箱化用户提供的可脚本或表达式模板语言内容,例如 Markdown、CSS 或 XSL 样式表、BBCode 或类似内容控制项
Validation / 清理与沙箱化
验证应用程序是否对用户提供的可脚本或表达式模板语言内容(如 Markdown、CSS 或 XSL 样式表、BBCode 或类似内容)进行清理、禁用或沙箱处理。
评估
评估状态:
评估备注: