OWASP 应用程序安全验证标准 4.0.3
控制项模式应用安全验证标准是一份应用安全需求或测试清单,可供架构师、开发人员、测试人员、安全专家、工具供应商和用户用来定义、构建、测试和验证安全应用程序。
验证应用程序是否防止敏感数据被缓存到服务器组件中,例如负载均衡器和应用缓存。
确保服务器上存储的所有敏感数据的缓存或临时副本在未经授权访问时受到保护,或者在授权用户访问敏感数据后被清除/作废。
验证应用程序是否尽量减少请求中的参数数量,例如隐藏字段、Ajax变量、Cookie和头部值。
验证应用程序是否能够检测并提醒异常数量的请求,例如按IP、用户、每小时或每天的总数,或任何对应用程序有意义的方式。
确认重要数据进行了定期备份,并进行了数据恢复测试。
确保备份安全存储,以防数据被盗或损坏。
验证应用程序是否设置了足够的防缓存头,以确保敏感数据不会被现代浏览器缓存。
验证存储在浏览器存储(如 localStorage、sessionStorage、IndexedDB 或 cookies)中的数据不包含敏感信息。
验证在客户端或会话终止后,经过身份验证的数据是否已从客户端存储中清除,例如浏览器 DOM。
验证敏感数据是否在 HTTP 消息体或头部发送到服务器,并确保任何 HTTP 方法的查询字符串参数不包含敏感数据。
确保用户有方法根据需要删除或导出他们的数据。
请确保向用户提供关于收集和使用所提供个人信息的清晰说明,并且在以任何方式使用这些数据之前,用户已提供同意使用这些数据的选择加入许可。
验证应用程序创建和处理的所有敏感数据是否已被识别,并确保有关于如何处理敏感数据的政策已制定。(C8)
验证访问敏感数据是否被审计(不记录敏感数据本身),如果数据是在相关数据保护指令下收集的,或在需要记录访问的情况下。
在不再需要敏感信息时,验证内存中的敏感信息已被覆盖,以减轻内存转储攻击的风险,可使用零或随机数据进行覆盖。
验证需要加密的敏感或私人信息是否使用经过批准的算法进行加密,这些算法能同时提供机密性和完整性。(C8)
确保敏感个人信息受到数据保留分类的管理,以便过时或不再需要的数据能够自动、按计划或根据情况删除。