ASVS 索引¶
目录¶
- 目标
- V1: 架构、设计和威胁建模要求
- V2: 认证验证要求
- V3: 会话管理验证要求
- V4: 访问控制验证要求
- V5: 验证、清理和编码验证要求
- V6: 存储加密验证要求
- V7: 错误处理和日志记录验证要求
- V8: 数据保护验证要求
- V9: 通信验证要求
- V10: 恶意代码验证要求
- V11: 业务逻辑验证要求
- V12: 文件和资源验证要求
- V13: API 和 Web 服务验证要求
- V14: 配置验证要求
目标¶
本索引旨在帮助 OWASP 应用安全验证标准 (ASVS) 用户在使用 ASVS 过程中,清晰地识别每个章节适用的备忘录。
本索引基于 ASVS 4.0.x 版本。
V1: 架构、设计和威胁建模要求¶
V1.1 安全软件开发生命周期要求¶
V1.2 认证架构要求¶
无。
V1.3 会话管理架构要求¶
无。
V1.4 访问控制架构要求¶
V1.5 输入输出架构要求¶
V1.6 加密架构要求¶
V1.7 错误、日志和审计架构要求¶
V1.8 数据保护和隐私架构要求¶
V1.9 通信架构要求¶
V1.10 恶意软件架构要求¶
V1.11 业务逻辑架构要求¶
V1.12 安全文件上传架构要求¶
无。
V1.13 API 架构要求¶
V1.14 配置架构要求¶
无。
V2: 认证验证要求¶
V2.1 密码安全要求¶
V2.2 通用认证器要求¶
V2.3 认证器生命周期要求¶
无。
V2.4 凭据存储要求¶
V2.5 凭据恢复要求¶
V2.6 查找秘密验证器要求¶
无。
V2.7 带外验证器要求¶
V2.8 单因素或多因素一次性验证器要求¶
无。
V2.9 加密软件和设备验证器要求¶
V2.10 服务认证要求¶
无。
V3: 会话管理验证要求¶
V3.1 基本会话管理要求¶
无。
V3.2 会话绑定要求¶
V3.3 会话注销和超时要求¶
V3.4 基于 Cookie 的会话管理¶
V3.5 基于 Token 的会话管理¶
V3.6 联合或断言重新认证¶
无。
V3.7 会话管理漏洞防御¶
V4: 访问控制验证要求¶
V4.1 通用访问控制设计¶
V4.2 操作级别访问控制¶
V4.3 其他访问控制考虑事项¶
V5: 验证、清理和编码验证要求¶
V5.1 输入验证要求¶
V5.2 清理和沙盒要求¶
V5.3 输出编码和注入预防要求¶
V5.4 内存、字符串和非托管代码要求¶
无。
V5.5 反序列化预防要求¶
V6: 存储加密验证要求¶
V6.1 数据分类¶
V6.2 算法¶
V6.3 随机值¶
无。
V6.4 密钥管理¶
V7: 错误处理和日志记录验证要求¶
V7.1 日志内容要求¶
V7.2 日志处理要求¶
V7.3 日志保护要求¶
V7.4 错误处理¶
V8: 数据保护验证要求¶
V8.1 通用数据保护¶
无。
V8.2 客户端数据保护¶
无。
V8.3 敏感私有数据¶
无。
V9: 通信验证要求¶
V9.1 通信安全要求¶
V9.2 服务器通信安全要求¶
V10: 恶意代码验证要求¶
V10.1 代码完整性控制¶
V10.2 恶意代码搜索¶
无。
V10.3 已部署应用程序完整性控制¶
V11: 业务逻辑验证要求¶
V11.1 业务逻辑安全要求¶
V12: 文件和资源验证要求¶
V12.1 文件上传要求¶
V12.2 文件完整性要求¶
V12.3 文件执行要求¶
无。
V12.4 文件存储要求¶
无。
V12.5 文件下载要求¶
无。
V12.6 SSRF 防护要求¶
V13: API 和 Web 服务验证要求¶
V13.1 通用 Web 服务安全验证要求¶
V13.2 RESTful Web 服务验证要求¶
V13.3 SOAP Web 服务验证要求¶
V13.4 GraphQL 和其他 Web 服务数据层安全要求¶
无。
V14: 配置验证要求¶
V14.1 构建¶
V14.2 依赖项¶
V14.3 非预期安全披露要求¶
V14.4 HTTP 安全头部要求¶
V14.5 验证 HTTP 请求头部要求¶
无。