ASVS 應用程式安全驗證標準(七)、 Level 3

ASVS Level 3 系統設計驗證(Design Verification)
本階段適合用於重要的企業交易、健康照護資訊、企業核心功能的應用程式。面對的威脅主要來自病毒、蠕蟲、使用工具或開發特殊工具的惡意攻擊者。檢驗範圍除了應用程式本身,也包括第三方API的能否提供相同的安全功能。Level 3注重安全控制措施正常運作、而且佈署在應用程式中滿足應用程式的政策( Policies )。Level 3不再分為兩個子項目。
ASVS Level 3 MVC高階架構圖 & 攻擊者路徑圖
ASVS Level 3 的要求項目:
檢測範圍:
  • L3.1 應用程式本身的程式碼。
  • L3.2 應用程式引用的的第三方軟體框架(framework)、函式庫(libraries)和服務的安全性功能。
  • L3.3 第三方軟體架構、函式庫、服務的程式碼。
安全控制措施的行為要求:
  • L3.4 確認所有執行安全檢查的安全控制措施都遵照白名單(White List Approach)的模式執行。
  • L3.5 確認所有執行安全檢查的安全制措施遇到安全事件時,這些檢查都不能被繞路通過。
安全控制措施的使用要求:
  • L3.6 確認所有的安全控制措施都佈署在應用程式需要的地方, 且符合 Level 3 驗證要求細項, 且以集中控管的方式實作在伺服器端。
安全控制措施的實作要求:
  • 無。
安全控制措施的驗證要求:
  • L3.7 依照 Level 3 的"驗證要求細項(Detail Verification Requirements)",人工驗證應用程式。
  • L3.8 建立應用程式的安全架構文件,並依照文件和執行威脅模擬來確認是否正確使用安全控制措施。
檢測報表的要求:
  • L3.9 檢測報表須包含:應用程式安全架構─元件群組化的高階架構(例如 MVC)、模擬威脅的資訊,加上"驗證報表要求(Verification Reporting Requirements)"的檢測結果。
在 Level 3 ,應用程式的元件可定義為:由單一的或一組的原始檔、函式庫、執行檔所組成的高階架構(例如 MVC元件、企業功能元件和資料層元件)。你可以在上面看到MVC架構的範例圖。你必須要了解高階架構圖中的終端使用者(end user)執行路徑,並紀錄在文件。重點是, 所有 路徑或是潛在路徑都應被仔細檢查。

下次將為你介紹 Level 4 ,然後再一次介紹 Level 3 和 Level 4 的驗證要求細項。

參考資料
----
http://en.wikipedia.org/wiki/Whitelist
https://www.owasp.org/index.php/How_to_meet_verification_reporting_requirements

留言

這個網誌中的熱門文章

資安JAVA(十):X-Content-Type-Options

資安JAVA(十一):X-XSS-Protection

資安JAVA(四):Session Cookie HTTPOnly Flag