OWAS
OWASP 应用程序安全验证标准 4.0.3
控制项模式应用安全验证标准是一份应用安全需求或测试清单,可供架构师、开发人员、测试人员、安全专家、工具供应商和用户用来定义、构建、测试和验证安全应用程序。
版本: 4.0.3•覆盖状态: 完整覆盖 (286/286)•控制项/量表/总计: 286/0/286•当前展示: 8 / 286•14 个分类
V8.3.1敏感数据通过 HTTP 消息体或头部发送到服务器,并且任何 HTTP 方法的查询字符串参数都不包含敏感数据控制项
Data / 敏感私人数据
验证敏感数据是否在 HTTP 消息体或头部发送到服务器,并确保任何 HTTP 方法的查询字符串参数不包含敏感数据。
评估
评估状态:
评估备注:
V8.3.2用户可以随时删除或导出他们的数据控制项
Data / 敏感私人数据
确保用户有方法根据需要删除或导出他们的数据。
评估
评估状态:
评估备注:
V8.3.3向用户清楚说明所收集和使用的个人信息,并且在以任何方式使用这些数据之前,用户已提供了明确的同意控制项
Data / 敏感私人数据
请确保向用户提供关于收集和使用所提供个人信息的清晰说明,并且在以任何方式使用这些数据之前,用户已提供同意使用这些数据的选择加入许可。
评估
评估状态:
评估备注:
V8.3.4应用程序创建和处理的所有敏感数据已被识别,并确保已制定关于如何处理敏感数据的政策控制项
Data / 敏感私人数据
验证应用程序创建和处理的所有敏感数据是否已被识别,并确保有关于如何处理敏感数据的政策已制定。(C8)
评估
评估状态:
评估备注:
V8.3.5验证访问敏感数据是否经过审计(但不记录敏感数据本身),如果数据是在相关数据保护指令下收集的,或者需要记录访问情况控制项
Data / 敏感私人数据
验证访问敏感数据是否被审计(不记录敏感数据本身),如果数据是在相关数据保护指令下收集的,或在需要记录访问的情况下。
评估
评估状态:
评估备注:
V8.3.6当内存中的敏感信息不再需要时,会立即被覆盖以防止内存转储攻击,覆盖内容可以是零或随机数据控制项
Data / 敏感私人数据
在不再需要敏感信息时,验证内存中的敏感信息已被覆盖,以减轻内存转储攻击的风险,可使用零或随机数据进行覆盖。
评估
评估状态:
评估备注:
V8.3.7需要加密的敏感或私人信息,使用经过批准的算法进行加密,这些算法同时提供机密性和完整性控制项
Data / 敏感私人数据
验证需要加密的敏感或私人信息是否使用经过批准的算法进行加密,这些算法能同时提供机密性和完整性。(C8)
评估
评估状态:
评估备注:
V8.3.8敏感的个人信息属于数据保留分类范畴,因此过时或陈旧的数据会根据计划、自动或根据实际情况被删除控制项
Data / 敏感私人数据
确保敏感个人信息受到数据保留分类的管理,以便过时或不再需要的数据能够自动、按计划或根据情况删除。
评估
评估状态:
评估备注: