OWAS
OWASP 应用程序安全验证标准 4.0.3
控制项模式应用安全验证标准是一份应用安全需求或测试清单,可供架构师、开发人员、测试人员、安全专家、工具供应商和用户用来定义、构建、测试和验证安全应用程序。
版本: 4.0.3•覆盖状态: 完整覆盖 (286/286)•控制项/量表/总计: 286/0/286•当前展示: 10 / 286•14 个分类
V5.3.1输出编码与解释器和所需的上下文相关控制项
Validation / 输出编码与注入防护
验证输出编码是否与解释器和所需上下文相关。例如,根据上下文需要,使用专门用于 HTML 值、HTML 属性、JavaScript、URL 参数、HTTP 头、SMTP 等的编码器,特别是针对不可信输入(例如包含 Unicode 或撇号的名称,如 ねこ 或 O'Hara)。(C4)
评估
评估状态:
评估备注:
V5.3.2输出编码保留了用户选择的字符集和区域设置,因此任何 Unicode 字符点都是有效的,并且可以安全处理控制项
Validation / 输出编码与注入防护
验证输出编码是否保留用户选择的字符集和区域设置,以确保任何 Unicode 字符点都是有效且安全处理的。(C4)
评估
评估状态:
评估备注:
V5.3.3上下文感知的输出转义,最好是自动的——最差情况下也应为手动的——可以防止反射型、存储型和基于DOM的XSS控制项
Validation / 输出编码与注入防护
验证上下文感知的输出转义(最好是自动的,最坏情况下是手动的)是否能防护反射型、存储型和基于 DOM 的 XSS。(C4)
评估
评估状态:
评估备注:
V5.3.4数据选择或数据库查询(e控制项
Validation / 输出编码与注入防护
验证数据选择或数据库查询(例如 SQL、HQL、ORM、NoSQL)是否使用参数化查询、ORM、实体框架,或以其他方式防止数据库注入攻击。(C3)
评估
评估状态:
评估备注:
V5.3.5在没有参数化或更安全机制时,会使用特定于上下文的输出编码来防止注入攻击,例如使用 SQL 转义来防止 SQL 注入控制项
Validation / 输出编码与注入防护
确认在没有使用参数化或更安全的机制时,采用了特定上下文的输出编码来防止注入攻击,例如使用 SQL 转义来防止 SQL 注入。(C3, C4)
评估
评估状态:
评估备注:
V5.3.6该应用程序可以防护 JSON 注入攻击、JSON eval 攻击以及 JavaScript 表达式求值攻击控制项
Validation / 输出编码与注入防护
验证应用程序是否能够防护 JSON 注入攻击、JSON eval 攻击以及 JavaScript 表达式求值攻击。(C4)
评估
评估状态:
评估备注:
V5.3.7该应用程序可以防止 LDAP 注入漏洞,或者已经实施了特定的安全控制来防止 LDAP 注入控制项
Validation / 输出编码与注入防护
验证应用程序是否能防护LDAP注入漏洞,或者是否已经实施了防止LDAP注入的特定安全控制措施。(C4)
评估
评估状态:
评估备注:
V5.3.8该应用程序可以防止操作系统命令注入,并确保操作系统调用使用参数化的操作系统查询或使用上下文命令行输出编码控制项
Validation / 输出编码与注入防护
验证应用程序是否能防止操作系统命令注入,并确保操作系统调用使用参数化的 OS 查询或使用上下文命令行输出编码。(C4)
评估
评估状态:
评估备注:
V5.3.9该应用程序可以防护本地文件包含(LFI)或远程文件包含(RFI)攻击控制项
Validation / 输出编码与注入防护
验证应用程序是否能够防护本地文件包含(LFI)或远程文件包含(RFI)攻击。
评估
评估状态:
评估备注:
V5.3.10该应用程序可以防止 XPath 注入或 XML 注入攻击控制项
Validation / 输出编码与注入防护
验证应用程序是否能够防止 XPath 注入或 XML 注入攻击。(C4)
评估
评估状态:
评估备注: