OWAS
OWASP 应用程序安全验证标准 4.0.3
控制项模式应用安全验证标准是一份应用安全需求或测试清单,可供架构师、开发人员、测试人员、安全专家、工具供应商和用户用来定义、构建、测试和验证安全应用程序。
版本: 4.0.3•覆盖状态: 完整覆盖 (286/286)•控制项/量表/总计: 286/0/286•当前展示: 8 / 286•14 个分类
V9.1.1TLS用于所有客户端连接,并且不会回退到不安全或未加密的通信控制项
Communications / 客户通信安全
验证所有客户端连接是否使用 TLS,并且不会回退到不安全或未加密的通信。(C8)
评估
评估状态:
评估备注:
V9.1.2使用最新的 TLS 测试工具验证,仅启用强加密套件,并将最强的加密套件设置为首选控制项
Communications / 客户通信安全
使用最新的 TLS 测试工具验证仅启用强加密套件,并将最强的加密套件设置为首选。
评估
评估状态:
评估备注:
V9.1.3仅启用最新推荐版本的 TLS 协议,例如 TLS 1控制项
Communications / 客户通信安全
验证仅启用 TLS 协议的最新推荐版本,如 TLS 1.2 和 TLS 1.3。TLS 协议的最新版本应作为首选选项。
评估
评估状态:
评估备注:
V9.2.1与服务器的连接使用受信任的 TLS 证书控制项
Communications / 服务器通信安全
验证与服务器的连接是否使用受信任的 TLS 证书。如果使用内部生成或自签名证书,必须将服务器配置为仅信任特定的内部 CA 和特定的自签名证书。其他所有证书都应被拒绝。
评估
评估状态:
评估备注:
V9.2.2所有入站和出站连接,包括管理端口、监控、认证、API 或 Web 服务调用、数据库、云、无服务器、主机、外部和合作伙伴连接,都使用诸如 TLS 之类的加密通信控制项
Communications / 服务器通信安全
验证所有入站和出站连接(包括管理端口、监控、身份验证、API 或 Web 服务调用、数据库、云、无服务器、主机、外部和合作伙伴连接)是否使用加密通信,如 TLS。服务器不得回退到不安全或未加密的协议。
评估
评估状态:
评估备注:
V9.2.3所有涉及敏感信息或功能的外部系统加密连接都经过身份验证控制项
Communications / 服务器通信安全
验证所有涉及敏感信息或功能的外部系统加密连接是否经过身份验证。
评估
评估状态:
评估备注:
V9.2.4已启用并配置适当的证书吊销,例如在线证书状态协议(OCSP)钉扎控制项
Communications / 服务器通信安全
验证已启用并配置了适当的证书撤销,例如在线证书状态协议(OCSP)订书针。
评估
评估状态:
评估备注:
V9.2.5后台 TLS 连接失败已记录控制项
Communications / 服务器通信安全
验证后台TLS连接失败是否已被记录。
评估
评估状态:
评估备注: