ASVS 應用程式安全驗證標準(二)、Level 1 簡介

ASVS Level 1 自動化驗證(Automated Verification)
若你對應用程式的 安全控制措施(Security Control) 有一般程度的信任,且你相信面對的威脅大部分來自非針對性、散佈廣泛的病毒及蠕蟲。你應該將Level 1 的檢驗範圍設定為應用程式本身的程式碼。

本階段的目標是正確的檢視自動化工具的檢測結果,使用人工方式校對,確認檢測結果正確指出應用程式的弱點而不是誤報(false postive)。因應不同檢測方法,本階段又分為"Level 1A動態掃描"和"Level 1B靜態(源碼)掃描"。只有完成兩種方法的所有的安全要求才算滿足Level 1。
ASVS Level 1 資安架構範例

ASVS Level 1 的要求項目:
檢測範圍:
  • L1.1 應用程式本身的程式碼。(不包含third party libraries、 framework。)
安全控制措施的行為要求:
  • 無。
安全控制措施的使用要求:
  • 無。
安全控制措施的實作要求:
  • 無。
安全控制措施的驗證要求:
  • L1.2 依照"驗證要求細項(Detail Verification Requirements)"檢查動態檢測的結果。
  • L1.3 依照"驗證求細項"檢查靜態檢測的結果。
檢測報表的要求:
Level 1 應用程式的元件包括原始碼、函式庫、可執行檔...等等。你並不需要列出所有元件之間的關係,只需要列出哪些元件屬於應用程式本身,哪些屬於IT環境。而且也不需要花時間確認,應用程式上各種服務的執行路徑或資料傳輸路徑。

下周將為你介紹何謂"Level 1A & 1B",以及驗證要求細項。

參考資料
----
https://www.owasp.org/index.php/Category:OWASP_Application_Security_Verification_Standard_Project
http://en.wikipedia.org/wiki/Security_controls
https://www.owasp.org/index.php/How_to_meet_verification_reporting_requirements

留言

張貼留言

這個網誌中的熱門文章

資安JAVA(八):HTTP強制傳輸安全(HSTS)

圖片
來源: John Melton's Weblog 標題:YEAR OF SECURITY FOR JAVA – WEEK 8 – HTTP STRICT TRANSPORT SECURITY 作者:John Melton 內文: Safe path. What is it and why should I care? HTTP強制安全傳輸技術,強制所有瀏覽器只能透過SSL或TLS連線到網站。 只要在HTTP網頁標頭加上特殊的HSTS,支援HSTS的瀏覽器就會限定只能經由HTTPS連線。以下是流程: 第一步,使用者造訪網站,不論透過HTTP或HTTPS。通常大部分是HTTP。 第二步,網站輸出網頁,內容包含HSTS標頭。90天內都只能透過HTTPS連線。 第三步,支援HSTS的瀏覽器90天內都不會送出 "非SSL" 的要求給網站。
更多詳細 »

以 SharpPcap 實作可收聽封包的 C# 程式

有個需求是收聽網站的流量,檢查是否有包含特定格式資訊的封包。從幾天前開始思考相關實作的問題。 如何檢查有人透過 Http 方式連線到網站? 側錄本機或同網段的封包才能滿足收聽的需求。Http協定送出的封包,到了底層是走tcp/ip,只要能夠抓取tcp/ip封包,並轉換成可處理的格式,就能檢查是否有人送出資訊。 今天的情境是要監聽同網段的網站流量,於是開始搜尋可用工具。其中,在Windows環境最有名的就是 WinPcap ,網路上已經有熱心人士提供包裹在 C# 的元件,只要先安裝好WinPcap,然後下載元件到自己的應用程式,即可收聽封包。該元件就是 SharpPcap ,2004年,美國的 Tamir Gal 為了完成大學的專案,在.NET 應用程式中使用 WinPcap 的功能,因此順便開發了SharpPcap 。他甚至寫了範例,使得開發人員可以更快學習如何利用他的元件,詳細資料請到  他的網站 。 如何使用SharpPcap ? 第一,下載 WinPcap,並妥善安裝完畢。( 下載連結 ) 第二,下載 SharpPcap 。( 下載連結 ) 第三,將 PacketDotNet.dll 和 SharpPcap.dll 加入到應用程式的參考中。 using SharpPcap; using SharpPcap.LibPcap; using PacketDotNet;
更多詳細 »

資安JAVA(四):Session Cookie HTTPOnly Flag

圖片
來源: John Melton's Weblog 標題:YEAR OF SECURITY FOR JAVA – WEEK 4 – SESSION COOKIE HTTPONLY FLAG 作者:John Melton 內文: What is it and why do I care? Session cookies(或是包含 JSESSIONID 的 cookie)用來管理WEB應用程式的 Session。這些 Cookies 包含特定使用者的 Session ID 的參考值,而同樣的 ID 也放在伺服器端並可識別該使用者其他的 Session 資料。這是最常用的管理方式,因為 cookies 會隨著每次 request 送出。 HttpOnly flag 作用是預防攻擊者透過 XSS 弱點獲得 session cookie。一旦 XSS 攻擊者成功,攻擊者便可以挾持受害者的 session 以合法身分登入。HttpOnly flag 對於這種攻擊十分有效。
更多詳細 »