今天完善了ASVS的PPT。整理成WORD了。
(Application Security Verification Standard)
1.告知团队软件要有应用的安全测试计划,
2.确定至少达到的安全级别,建议至少1级。
3.与安全区域的验证点进行匹配查找,查找由于安全考虑,开发设计需要做改变的地方。
4.分派责任给开发团队,修改程序。
08/2014 – OWASP ASVS 2.0
06/2009 – OWASP ASVS “Release” 1.0
12/2008 – OWASP ASVS “Beta”
04/2008 – OWASP ASVS “RFP” (OWASP Summer of Code 2008)
四、ASVS 1.0与2.0的区别
1.ASVS1.0中的V1\V12\V13\V14在ASVS2.0版本中的其他区域的验证点中包含了。
2.ASVS1.0包含121个验证点。ASVS2.0包含168个验证点。
安全验证区域 |
ASVS 1.0 |
ASVS 2.0 |
V1.安全架构 |
√ |
—— |
V2. 认证 |
√ |
√ |
V3. 会话管理 |
√ |
√ |
V4. 访问控制 |
√ |
√ |
V5. 输入验证 |
√ |
√ |
V6.输出解码与验证 |
√ |
√ |
V7. 密码或密钥算法安全 |
√ |
√ |
V8. 异常处理与日志 |
√ |
√ |
V9. 数据保护 |
√ |
√ |
V10. 传输安全 |
√ |
√ |
V11. HTTP 安全 |
√ |
√ |
V12. 安全配置 |
√ |
—— |
V13. 恶意代码查找 |
√ |
—— |
V14. 内部代码安全 |
√ |
—— |
V15.业务逻辑 |
—— |
√ |
V16.文件资源安全 |
—— |
√ |
V17.移动应用安全 |
—— |
√ |
安全需求区域 |
1级评估点 |
2级评估点 |
3级评估点 |
HTTP安全 |
3 |
7 |
7 |
传输安全 |
1 |
5 |
9 |
恶意攻击控制 |
0 |
0 |
11 |
会话管理 |
7 |
14 |
14 |
密码密钥安全 |
0 |
5 |
7 |
敏感数据保护 |
2 |
4 |
8 |
访问控制 |
8 |
12 |
13 |
认证 |
8 |
19 |
21 |
输入验证 |
9 |
13 |
16 |
文件资源安全 |
6 |
10 |
10 |
业务逻辑 |
0 |
10 |
10 |
移动应用 |
4 |
13 |
28 |
异常处理与日志 |
1 |
9 |
14 |
总计 |
49 |
121 |
168 |
五、ASVS 2.0 介绍