OWAS
OWASP 应用程序安全验证标准 4.0.3
控制项模式应用安全验证标准是一份应用安全需求或测试清单,可供架构师、开发人员、测试人员、安全专家、工具供应商和用户用来定义、构建、测试和验证安全应用程序。
版本: 4.0.3•覆盖状态: 完整覆盖 (286/286)•控制项/量表/总计: 286/0/286•当前展示: 4 / 286•14 个分类
V5.5.1序列化对象使用完整性检查或加密来防止恶意对象创建或数据篡改控制项
Validation / 反序列化防护
验证序列化对象是否使用完整性检查或加密,以防止恶意对象创建或数据篡改。(C5)
评估
评估状态:
评估备注:
V5.5.2该应用程序正确地限制 XML 解析器仅使用最严格的配置,并确保禁用解析外部实体等不安全功能,以防止 XML 外部实体(XXE)攻击控制项
Validation / 反序列化防护
验证应用程序是否正确限制 XML 解析器仅使用最严格的配置,并确保禁用解析外部实体等不安全功能,以防止 XML 外部实体(XXE)攻击。
评估
评估状态:
评估备注:
V5.5.3在自定义代码和第三方库(如 JSON、XML 和 YAML 解析器)中,避免反序列化不受信任的数据,或对其进行保护控制项
Validation / 反序列化防护
验证在自定义代码和第三方库(如 JSON、XML 和 YAML 解析器)中是否避免对不可信数据进行反序列化,或对其进行保护。
评估
评估状态:
评估备注:
V5.5.4在浏览器或基于 JavaScript 的后端解析 JSON 时,JSON控制项
Validation / 反序列化防护
请确保在浏览器或基于JavaScript的后端解析JSON时,使用JSON.parse来解析JSON文档。不要使用eval()来解析JSON。
评估
评估状态:
评估备注: