OWAS
OWASP 应用程序安全验证标准 4.0.3
控制项模式应用安全验证标准是一份应用安全需求或测试清单,可供架构师、开发人员、测试人员、安全专家、工具供应商和用户用来定义、构建、测试和验证安全应用程序。
版本: 4.0.3•覆盖状态: 完整覆盖 (286/286)•控制项/量表/总计: 286/0/286•当前展示: 13 / 286•14 个分类
V7.1.1该应用不会记录凭证或支付详情控制项
Error / 日志内容
验证应用程序是否未记录凭据或支付信息。会话令牌应仅以不可逆的哈希形式存储在日志中。(C9, C10)
评估
评估状态:
评估备注:
V7.1.2该应用程序不会记录本地隐私法或相关安全政策下定义的其他敏感数据控制项
Error / 日志内容
验证应用程序是否未记录根据当地隐私法或相关安全策略定义的其他敏感数据。(C9)
评估
评估状态:
评估备注:
V7.1.3该应用程序记录与安全相关的事件,包括成功和失败的身份验证事件、访问控制失败、反序列化失败以及输入验证失败控制项
Error / 日志内容
验证应用程序是否记录与安全相关的事件,包括成功和失败的身份验证事件、访问控制失败、反序列化失败和输入验证失败。(C5, C7)
评估
评估状态:
评估备注:
V7.1.4每个日志事件都包含必要的信息,这些信息可以用于对事件发生时的时间线进行详细调查控制项
Error / 日志内容
验证每个日志事件是否包含必要的信息,以便在事件发生时能够对时间线进行详细调查。(C9)
评估
评估状态:
评估备注:
V7.2.1所有身份验证决策都会被记录,但不会存储敏感的会话令牌或密码控制项
Error / 日志处理
确保所有身份验证决策都被记录,但不要存储敏感的会话令牌或密码。这应包括包含安全调查所需相关元数据的请求。
评估
评估状态:
评估备注:
V7.2.2所有访问控制决策都可以被记录,所有失败的决策都会被记录控制项
Error / 日志处理
验证所有访问控制决策都可以被记录,并且所有失败的决策都已记录。这应包括安全调查所需的相关元数据请求。
评估
评估状态:
评估备注:
V7.3.1所有日志组件都适当地对数据进行编码,以防止日志注入控制项
Error / 日志保护
验证所有日志组件是否适当编码数据以防止日志注入。(C9)
评估
评估状态:
评估备注:
V7.3.2[已删除,重复于7]控制项
Error / 日志保护
[已删除,7.3.1 重复]
评估
评估状态:
评估备注:
V7.3.3安全日志受到保护,防止未经授权的访问和修改控制项
Error / 日志保护
验证安全日志是否受保护,防止未经授权的访问和修改。 (C9)
评估
评估状态:
评估备注:
V7.3.4时间源已同步到正确的时间和时区控制项
Error / 日志保护
确保时间源与正确的时间和时区同步。如果系统是全球性的,强烈建议仅以 UTC 记录日志,以便事后进行事件取证分析。(C9)
评估
评估状态:
评估备注:
V7.4.1当发生意外或安全敏感的错误时,会显示一条通用消息,并可能附带一个唯一 ID,支持人员可以使用该 ID 进行调查控制项
Error / 错误处理
验证当发生意外或安全敏感错误时,是否显示通用消息,可能带有支持人员可用来调查的唯一 ID。(C10)
评估
评估状态:
评估备注:
V7.4.2在整个代码库中使用异常处理(或功能等效方式)来应对预期和意外的错误情况控制项
Error / 错误处理
验证在整个代码库中是否使用了异常处理(或功能等效方法)来处理预期和意外的错误情况。(C10)
评估
评估状态:
评估备注:
V7.4.3定义了一个“最后手段”错误处理程序,它将捕获所有未处理的异常控制项
Error / 错误处理
验证是否定义了“最后手段”错误处理程序,该程序将捕获所有未处理的异常。(C10)
评估
评估状态:
评估备注: