OWASP 应用程序安全验证标准 4.0.3
控制项模式应用安全验证标准是一份应用安全需求或测试清单,可供架构师、开发人员、测试人员、安全专家、工具供应商和用户用来定义、构建、测试和验证安全应用程序。
确保受监管的私密数据在静态存储时是加密的,例如个人身份信息(PII)、敏感个人信息或被评估可能受欧盟《通用数据保护条例》(GDPR)约束的数据。
验证受监管的健康数据在静止状态下是否以加密形式存储,例如病历、医疗设备详细信息或去标识化的研究记录。
验证受监管的财务数据在静态存储时是否已加密,例如财务账户、违约或信用记录、税务记录、工资历史、受益人信息,或去匿名化的市场或研究记录。
验证所有加密模块在失败时能安全处理,并且错误的处理方式不会导致填充预言攻击。
验证是否使用经过行业验证或政府批准的加密算法、模式和库,而不是自定义编码的加密。(C8)
验证加密初始化向量、密码配置和分组模式是否根据最新建议进行安全配置。
验证随机数、加密或哈希算法、密钥长度、轮数、密码或模式是否可以随时重新配置、升级或替换,以防止密码学破解。(C8)
确保未使用已知不安全的区块模式(如 ECB 等)、填充模式(如 PKCS#1 v1.5 等)、小区块加密算法(如 Triple-DES、Blowfish 等)以及弱哈希算法(如 MD5、SHA1 等),除非为向后兼容而必须使用。
验证随机数、初始化向量以及其他一次性使用的数字在使用给定加密密钥时不得重复使用。生成方法必须适合所使用的算法。
通过签名、经过认证的密码模式或 HMAC 验证加密数据的真实性,以确保密文未被未经授权的方篡改。
确保所有加密操作都是恒定时间的,在比较、计算或返回中没有“短路”操作,以避免信息泄露。
当这些随机值旨在不被攻击者猜测时,验证所有随机数、随机文件名、随机 GUID 和随机字符串是否使用加密模块批准的加密安全随机数生成器生成。
验证随机 GUID 是否使用 GUID v4 算法和加密安全的伪随机数生成器(CSPRNG)创建。使用其他伪随机数生成器创建的 GUID 可能是可预测的。
验证即使在应用程序负载较大时,随机数也能以适当的熵生成,或者应用程序在这种情况下能够平稳降级。
验证是否使用诸如密钥库等机密管理解决方案来安全地创建、存储、控制访问和销毁机密信息。(C8)
验证密钥材料未暴露给应用程序,而是使用像保险库这样的隔离安全模块进行加密操作。(C8)