ASVS 應用程式安全驗證標準(五)、Level 2
ASVS Level 2 人工驗證(Manual Verification)
Level 2 適合牽扯到個人金流、企業交易、信用卡資訊、個人身分資料的應用程式。除了使用正確的 安全控制措施(Security Control) 同時控制措施也能有效的運作。面對的威脅主要來自病毒、蠕蟲、使用現成工具的攻擊者。檢驗範圍除了應用程式本身,也包括第三方API的能否提供相同的安全功能。
Level 2 又分為 2A 和 2B ,兩者都能涵蓋 Level 2 的要求項目,差別在於檢測的方法不同。2A 著重人工滲透測試( Penetration Test ),2B則著重在人工原始碼檢查( Code Review )。雖然 Level 1 是 Level 2 的子集合,同樣的要求雖然在 Level 1已經通過自動化工具的檢測,但 Level 2 要以人工滲透測試或原始碼檢查才算通過。因為自動化工具只能檢測出應用程式的漏洞,又稱為負向驗證。工具無法提供足夠的證明這些要求細項是否通過正向驗證。
人工檢測不代表不能使用自動化工具。即使這些工具或許有能力找出應用程式的漏洞,但只能用來幫助分析員找出和評估哪些安全控制措施該接受檢測。
ASVS Level 2 的要求項目:
檢測範圍:
下次將為你介紹 2A 和 2B 的要求細項。
參考資料
----
http://en.wikipedia.org/wiki/Security_controls
http://en.wikipedia.org/wiki/Penetration_test
http://blog.darkthread.net/post-2007-02-16-darkthread-s-code-review-theory.aspx
http://zh.wikipedia.org/zh-tw/MVC
https://www.owasp.org/index.php/How_to_meet_verification_reporting_requirements
Level 2 適合牽扯到個人金流、企業交易、信用卡資訊、個人身分資料的應用程式。除了使用正確的 安全控制措施(Security Control) 同時控制措施也能有效的運作。面對的威脅主要來自病毒、蠕蟲、使用現成工具的攻擊者。檢驗範圍除了應用程式本身,也包括第三方API的能否提供相同的安全功能。
Level 2 又分為 2A 和 2B ,兩者都能涵蓋 Level 2 的要求項目,差別在於檢測的方法不同。2A 著重人工滲透測試( Penetration Test ),2B則著重在人工原始碼檢查( Code Review )。雖然 Level 1 是 Level 2 的子集合,同樣的要求雖然在 Level 1已經通過自動化工具的檢測,但 Level 2 要以人工滲透測試或原始碼檢查才算通過。因為自動化工具只能檢測出應用程式的漏洞,又稱為負向驗證。工具無法提供足夠的證明這些要求細項是否通過正向驗證。
人工檢測不代表不能使用自動化工具。即使這些工具或許有能力找出應用程式的漏洞,但只能用來幫助分析員找出和評估哪些安全控制措施該接受檢測。
ASVS Level 2 MVC架構範例 |
檢測範圍:
- L2.1 應用程式本身的程式碼。(不包含third party libraries、 framework。)
- L2.2 應用程式引用的的第三方框架(framework)、函式庫(libraries)和服務的安全性功能。
- L2.3 確認所有執行安全檢查的安全控制措施都遵照白名單 (White List Approach) 的模式執行。
- L2.4 確認所有執行安全檢查的安全控制措施遇到安全事件時,這些檢查都不能被繞路通過。
- L2.5 確認所有的安全元件都佈署在應用程式需要的地方,且都以集中控管的方式實作在伺服器端的應用程式中。
- 無。
- L2.6 依照"驗證要求細項(Detail Verification Requirements)"確認人工滲透測試的結果。
- L2.7 依照"驗證要求細項"確認人工原始碼檢查的結果。
- L2.8 檢測報表須包含:應用程式安全架構─元件群組化的高階架構(例如 MVC), 加上"驗證報表要求(Verification Reporting Requirements)"的檢測結果。
下次將為你介紹 2A 和 2B 的要求細項。
參考資料
----
http://en.wikipedia.org/wiki/Security_controls
http://en.wikipedia.org/wiki/Penetration_test
http://blog.darkthread.net/post-2007-02-16-darkthread-s-code-review-theory.aspx
http://zh.wikipedia.org/zh-tw/MVC
https://www.owasp.org/index.php/How_to_meet_verification_reporting_requirements
betmatik
回覆刪除kralbet
betpark
tipobet
slot siteleri
kibris bahis siteleri
poker siteleri
bonus veren siteler
mobil ödeme bahis
SCR4
bahis siteleri
回覆刪除https://bahissiteleri.io
betboo
onwin
mobilbahis
K6X
salt likit
回覆刪除salt likit
heets
canlı sex hattı
https://girisadresi.info/
MBFFM
dijital kartvizit
回覆刪除referans kimliği nedir
binance referans kodu
referans kimliği nedir
bitcoin nasıl alınır
resimli magnet
R31356
alanya
回覆刪除amasya
ankara
antakya
antalya
UXİ7K
dijital kartvizit
回覆刪除referans kimliği nedir
binance referans kodu
referans kimliği nedir
bitcoin nasıl alınır
resimli magnet
FMA
şirinevler
回覆刪除esenyurt
denizli
malatya
bursa
RCT
alanya
回覆刪除izmit
bağcılar
sakarya
2J1
istanbul travesti
回覆刪除7İK
شركة تنظيف منازل بخميس مشيط Cw2KQWD7qh
回覆刪除مكافحة الحشرات بالاحساء QXXg58yZtc
回覆刪除