OWAS
OWASP 应用程序安全验证标准 4.0.3
控制项模式应用安全验证标准是一份应用安全需求或测试清单,可供架构师、开发人员、测试人员、安全专家、工具供应商和用户用来定义、构建、测试和验证安全应用程序。
版本: 4.0.3•覆盖状态: 完整覆盖 (286/286)•控制项/量表/总计: 286/0/286•当前展示: 8 / 286•14 个分类
V6.2.1所有加密模块都能安全地失败,并且错误处理的方式不会使填充Oracle攻击成为可能控制项
Cryptography / Algorithms
验证所有加密模块在失败时能安全处理,并且错误的处理方式不会导致填充预言攻击。
评估
评估状态:
评估备注:
V6.2.2使用经过行业验证或政府批准的加密算法、模式和库,而不是自定义编码的加密技术控制项
Cryptography / Algorithms
验证是否使用经过行业验证或政府批准的加密算法、模式和库,而不是自定义编码的加密。(C8)
评估
评估状态:
评估备注:
V6.2.3加密初始化向量、密码配置和分组模式均根据最新建议进行了安全配置控制项
Cryptography / Algorithms
验证加密初始化向量、密码配置和分组模式是否根据最新建议进行安全配置。
评估
评估状态:
评估备注:
V6.2.4随机数、加密或哈希算法、密钥长度、轮数、密码或模式可以随时重新配置、升级或替换,以防止加密被破解控制项
Cryptography / Algorithms
验证随机数、加密或哈希算法、密钥长度、轮数、密码或模式是否可以随时重新配置、升级或替换,以防止密码学破解。(C8)
评估
评估状态:
评估备注:
V6.2.5已知不安全的分组模式(i控制项
Cryptography / Algorithms
确保未使用已知不安全的区块模式(如 ECB 等)、填充模式(如 PKCS#1 v1.5 等)、小区块加密算法(如 Triple-DES、Blowfish 等)以及弱哈希算法(如 MD5、SHA1 等),除非为向后兼容而必须使用。
评估
评估状态:
评估备注:
V6.2.6随机数、初始化向量以及其他一次性使用的数字在使用特定加密密钥时不得重复使用控制项
Cryptography / Algorithms
验证随机数、初始化向量以及其他一次性使用的数字在使用给定加密密钥时不得重复使用。生成方法必须适合所使用的算法。
评估
评估状态:
评估备注:
V6.2.7加密数据通过签名、经过认证的密码模式或 HMAC 进行身份验证,以确保密文未被未授权方篡改控制项
Cryptography / Algorithms
通过签名、经过认证的密码模式或 HMAC 验证加密数据的真实性,以确保密文未被未经授权的方篡改。
评估
评估状态:
评估备注:
V6.2.8所有加密操作都是恒定时间的,在比较、计算或返回中没有“短路”操作,以避免泄露信息控制项
Cryptography / Algorithms
确保所有加密操作都是恒定时间的,在比较、计算或返回中没有“短路”操作,以避免信息泄露。
评估
评估状态:
评估备注: