ASVS 應用程式安全驗證標準(一)、簡介

來自於促進WEB資安的非營利組織 OWASP
OWASP 致力於幫助企業發展、購買和維護WEB應用程式的安全 ─ 而且是非營利組織。不僅提供免費的工具、文件、論壇和書籍,更保持著中立性,不偏頗於某些廠商的商業產品。

什麼是應用程式安全驗證標準(Application Security Verification Standard)?
可翻譯為應用程式安全驗證標準,目標是將市面上的WEB應用程式的諸多安全標準,以相同的指標作正規化的比較。提供一套用以測試不同安全控制措施的基礎,以檢驗他們面對諸多漏洞時的可靠程度(例如 XSSSQL injection)。你也可以利用這套標準建立不同信任等級的WEB應用程式。目前最新的版本是ASVS 2009。

為何你的組織需要 ASVS ?

ASVS 的方法有哪些?
ASVS 分為四個等級,越高層級所涵蓋的範圍越廣、要求越嚴謹。
  • 等級一的安全要求,大部分自動化工具都可以滿足。
  • 等級二的安全要求,著重在人工測試。 
  • 等級三的安全要求,必須考量到商業邏輯和系統的設計藍圖是否嚴謹。 
  • 等級四的安全要求,包括第三方套件內所有的程式碼都必須符合等級三的要求。 


如何融入到系統開發生命週期(SDLC)?
  1. 根據您的風險等級,定義安全要求。
  2. 根據不同應用程式,定義風險等級。
  3. 實作安全功能。
  4. 檢查。
  5. 修正。
  1. 應用程式風險等級由您定義,並試著對應到ASVS的等級。
  2. 計畫如何改善您的應用程式以達成ASVS等級的安全要求。(可參考ESAPI)
  3. 利用我們的ESAPI協助您建立企業的API,整合應用程式中的標準控制項,然後實作適合企業的控制項。利用這些控制項保護您的應用程式。
  4. 檢查應用程式是否滿足您的計畫。可否避免攻擊,例如:XSS、SQL Injection、CSRF等等。
  5. 發現弱點了嗎?趁別人還沒發現之前修正吧!
要完成這些事情很不容易對吧,慢慢來!讓我們從基礎慢慢前進,下周,將介紹如何達成等級一的 ASVS 安全要求。希望能幫助大家保護自己的WEB應用程式。
----
參考資料:
https://www.owasp.org/index.php/ASVS

留言

這個網誌中的熱門文章

資安JAVA(八):HTTP強制傳輸安全(HSTS)

以 SharpPcap 實作可收聽封包的 C# 程式

資安JAVA(四):Session Cookie HTTPOnly Flag