發表於2024-12-19
第一篇 ASVS概述
第1章 使用應用安全驗證標準 2
1.1 應用安全驗證級彆 3
1.2 如何使用這個標準 4
1.3 在實踐中應用ASVS 7
第2章 評估軟件是否達到驗證水平 10
2.1 使用指導 11
2.2 自動滲透測試工具的作用 12
2.3 滲透測試的作用 12
2.4 用作詳細的安全架構指導 13
2.5 用作現有安全編碼清單的替代 13
2.6 用作自動化單元和集成測試指南 14
2.7 用作安全開發培訓 14
第二篇 ASVS詳解
第3章 V1:架構、設計和威脅建模 16
3.1 控製目標 17
3.2 驗證要求 17
3.3 參考文獻 19
第4章 V2:認證 20
4.1 控製目標 21
4.2 驗證要求 21
4.3 參考文獻 24
第5章 V3:會話管理 26
5.1 控製目標 27
5.2 驗證要求 27
5.3 參考文獻 29
第6章 V4:訪問控製 30
6.1 控製目標 31
6.2 驗證要求 31
6.3 參考文獻 33
第7章 V5:惡意輸入處理 34
7.1 控製目標 35
7.2 驗證要求 35
7.3 參考文獻 38
第8章 V6:密碼學安全 40
8.1 控製目標 41
8.2 驗證要求 41
8.3 參考文獻 43
第9章 V7:錯誤處理和日誌記錄 44
9.1 控製目標 45
9.2 驗證要求 46
9.3 參考文獻 48
第10章 V8:數據保護 49
10.1 控製目標 50
10.2 驗證要求 51
10.3 參考文獻 52
第11章 V9:通信安全 53
11.1 控製目標 54
11.2 驗證要求 54
11.3 參考文獻 56
第12章 V10:HTTP安全配置 58
12.1 控製目標 59
12.2 驗證要求 59
12.3 參考文獻 60
第13章 V11:惡意控件 62
13.1 控製目標 63
13.2 驗證要求 63
13.3 參考文獻 64
第14章 V12:業務邏輯 65
14.1 控製目標 66
14.2 驗證要求 66
14.3 參考文獻 67
第15章 V13:文件和資源 68
15.1 控製目標 69
15.2 驗證要求 69
15.3 參考文獻 70
第16章 V14:移動應用程序 71
16.1 控製目標 72
16.2 驗證要求 72
16.3 參考文獻 74
第17章 V15:Web服務 75
17.1 控製目標 76
17.2 驗證要求 76
17.3 參考文獻 78
第18章 V16:安全配置 79
18.1 控製目標 80
18.2 驗證要求 80
18.3 參考文獻 81
第三篇 ASVS實踐案例分析
第19章 ASVS的實踐案例 83
19.1 案例1:作為安全測試指南使用 84
19.2 案例2:作為SDLC的實施指導 86
附 錄
附錄A 名詞解釋 89
附錄B 參考文獻 95
附錄C 標準映射 97
附錄D ASVS術語錶 99
附錄E 采用ASVS的OWASP項目 104
附錄F OWASP安全編碼規範快速參考指南 106
序1
關於標準
本書是根據《OWASP應用程序安全驗證標準》翻譯編寫的。《OWASP應用程序安全驗證標準》是架構師、開發人員、測試人員、安全專業人員及用戶可以使用的應用程序安全性要求或測試的列錶,以定義安全的應用程序。
版權和許可證
版權所有?2008—2016 OWASP基金會。本文檔依照《知識共享署名授權許可協議3.0》發布。對於任何重用或分發,必須嚮他人明確這項工作的許可條款。
發布曆史
第3.0.1版《OWASP應用程序安全驗證標準》發布於2016年,該項目由Daniel Cuthbert和Andrew van der Stock領導。
? 2014年8月,第2.0版《OWASP應用程序安全驗證標準》發布。
? 2015年9月,第3.0版《OWASP應用程序安全驗證標準》發布。
? 2016年6月,第3.0.1版《OWASP應用程序安全驗證標準》發布。
2015年第3.0版的貢獻者
項目負責人 主要作者 貢獻者和審稿人
Andrew van der Stock
Daniel Cuthbert Jim Manico Abhinav Sejpal
Ari Kes?niemi
Boy Baukema
Colin Watson
Cristinel Dumitru
David Ryan
Fran?ois-Eric Guyomarc’h
Gary Robinson
Glenn Ten Cate
James Holland
Martin Knobloch
Raoul Endres
Ravishankar S
Riccardo Ten Cate
Roberto Martelloni
Ryan Dewhurst
Stephen de Vries
Steven van der Baan
2014年第2.0版的貢獻者
項目負責人 主要作者 貢獻者和審稿人
Daniel Cuthbert
Sahba Kazerooni Andrew van der Stock
Krishna Raja Antonio Fontes
Archangel Cuison
Ari Kes?niemi
Boy Baukema
Colin Watson
Dr Emin Tatli
Etienne Stalmans
Evan Gaustad
Jeff Sergeant
Jerome Athias
Jim Manico
Mait Peekma
Pekka Sillanp??
Safuat Hamdy
Scott Luc
Sebastien Deleersnyder
2009年第1.0版的貢獻者
項目負責人 主要作者 貢獻者和審稿人
Mike Boberski
Jeff Williams
Dave Wichers Jim Manico Andrew van der Stock
Barry Boyd
Bedirhan Urgun
Colin Watson
Dan Cornell
Dave Hausladen
Dave van Stein
Dr. Sarbari Gupta
Dr. Thomas Braun
Eoin Keary
Gaurang Shah
George Lawless
Jeff LoSapio
Jeremiah Grossman
John Martin
John Steven
續錶
項目負責人 主要作者 貢獻者和審稿人
Ken Huang
Ketan Dilipkumar Vyas
Liz Fong Shouvik Bardhan
Mandeep Khera
Matt Presson
Nam Nguyen
Paul Douthit
Pierre Parrend
Richard Campbell
Scott Matsumoto
Stan Wisseman
Stephen de Vries
Steve Coyle
Terrie Diaz
Theodore Winograd
序2
歡迎使用《OWASP應用程序安全驗證標準(ASVS)》第3.0.1版。ASVS是通過OWASP團隊努力建立而成的安全要求和控製框架,其側重於在應用程序設計、開發和測試時所需的功能和非功能安全控製。
本版本被認為是識彆和采用的最佳實踐經驗。這將有助於新興標準計劃采用ASVS中的內容,同時協助現有的企業學習他人的經驗。
OWASP ASVS項目組預計這個標準可能永遠不會達到100%的完善並被認同。風險分析在某種程度上是主觀的,這在嘗試以適閤所有標準的尺度進行泛化時,會産生挑戰。但是,OWASP ASVS項目組希望本版本的最新更新是朝著正確的方嚮邁齣的一步,並期望能為行業引入這一重要的概念。
第3.0.1版有什麼新功能
(1)在第3.0.1版本中,ASVS增加瞭幾個部分,包括配置、Web服務等,使本標準更適用於現代應用,如HTML5前端或移動客戶端、使用SAML身份驗證來調用一組RESTful Web服務。
(2)為確保使用人員不需要多次重復驗證相同的項目,第3.0.1版ASVS刪除瞭重復的標準。
第3.0.1版ASVS提供瞭一個映射到CWE常見弱點的枚舉(CWE)字典。CWE映射可以用於識彆信息利用的可能性,成功地利用這一結果。廣義地說,如果不使用或實施安全控製及如何緩解弱點,那麼還可以洞悉將來有可能齣現的問題。
最後,在2015年OWASP AppSec歐洲大會期間,OWASP ASVS項目組與其他項目組、專傢進行瞭評審,並在2015年的OWASP AppSec美國大會進行瞭最後的工作會議,納入大量反饋意見。OWASP ASVS項目組希望讀者能找到對本書有用的更新,並以項目組所能想象的方式使用它。
前 言
背景
2016年和2017年是我國網絡安全行業飛速發展的兩年。自2016年年底至2017年,國傢先後發布並實施《網絡空間安全戰略》《網絡安全法》《關於加強網絡安全學科建設和人纔培養的意見》等涉及網絡安全方麵的法律法規和政策文件。同時,“WannCry勒索病毒”“Structs2漏洞”“Office高危漏洞”等這樣的全球性網絡安全事件也不時刺痛著人們的神經。越來越多的網絡安全研究機構、軟件研發機構、專傢學者逐漸認識到“沒有軟件安全,就沒有網絡安全”“安全不僅是網絡安全專傢的責任,更是每個軟件開發從業人員的責任”。
那麼,軟件研發機構如何開發齣安全的應用程序呢?安全的應用程序應該符閤哪些標準呢?軟件研發機構需要驗證應用程序的哪些方麵呢?本書是在這樣的背景下翻譯齣版的。
ASVS簡介
“OWASP應用程序安全驗證標準(ASVS)”項目是OWASP全球安全組織的成功項目之一。該項目的主旨如下:為執行Web應用程序安全驗證提供一套可行的標準,以規範應用程序的安全驗證覆蓋範圍和安全級彆。該項目的研究成果,即《OWASP應用程序安全驗證標準(ASVS)》,最新版本為第3.0.1版。
該成果不僅為Web應用程序技術安全控製提供瞭測試參考標準,還為應用程序開發人員提供瞭一係列安全開發需求建議。為測試應用程序技術安全控製及依賴於測試環境中的任何技術安全控製提供瞭參考依據,以消除應用程序受到跨站腳本(XSS)、SQL注入等軟件安全威脅的影響。此外,該成果還可用於標識應用程序的安全信任級彆。
該成果可根據讀者或使用人員的需要,作為度量標準、安全指導和采購要求。
(1)度量標準:為應用程序開發人員和應用程序所有者提供一個參考標準,以評估應用程序的可信任程度。
(2)安全指導:為應用程序中安全控製的開發人員提供有關構建安全控製的指導建議,以滿足應用程序的安全開發需求。
(3)采購要求:為應用程序的采購閤同,提供應用程序安全驗證需求的參考標準。
讀者對象
本書的主要讀者對象包括但不限於:
(1)軟件研發組織機構的技術專業負責人和項目主管。
(2)軟件安全開發服務谘詢與驗證的相關人員。
(3)網絡安全基礎核心領域研究的專傢學者。
(4)高等院校軟件工程專業和網絡安全專業的教育工作者。
(5)對軟件安全開發感興趣的個人。
內容結構
本書分為3篇,共19章。第一篇由第1、2章組成,對ASVS及其評估軟件的使用方式進行瞭介紹。第二篇由第3~18章組成,分彆介紹瞭16類驗證關鍵點。第三篇由第19章組成,錶述瞭ASVS的實踐案例。
全書由王頡負責總體架構設計和質量控製,由Rip、張傢銀擔任翻譯顧問,由包悅忠、李旭勤負責技術指導。第1章由王頡翻譯,第2章由王厚奎翻譯,第3~10章由王厚奎和吳楠共同翻譯,第11~18章由吳楠翻譯,第19章及附錄由王厚奎翻譯。全文由趙學文負責統稿與編排。
緻謝
特彆感謝OWASP總部對OWASP中國組織本中文版ASVS相關工作予以的支持。
感謝OWASP中國和SecZone自OWASP Application Security Verification Standard(V2.0)發布以來對該項目持續的跟進、翻譯、研究與分享。同時,也對該項目的參與人員錶示感謝。
OWASP中國將對OWASP ASVS項目保持跟進,持續完善和深化本書。
中文版說明
(1)本書為OWASP Application Security Verification Standard(V3.0.1)的中文版。本書盡量保留原版本的格式與風格,但部分語言風格調整為中文錶述。其中存在的差異,敬請諒解。
(2)為方便讀者閱讀和理解本書中的內容,本書對原英文版中明確內容為空的章節進行瞭刪除,並對原英文版中的部分章節內容進行瞭順序調整,緻使本書的章節編號與原英文版中的章節編號不同。
(3)本書中的錶格包含每條描述項的序號,以及其在原英文版中的原描述項序號,以方便讀者進行匹配。
(4)由於譯者團隊水平有限,存在的錯誤敬請指正。
(5)如果您有關於本書的任何意見或建議,可以通過以
軟件安全開發指南――應用軟件安全級彆驗證參考標準 下載 mobi pdf epub txt 電子書 格式 2024
軟件安全開發指南――應用軟件安全級彆驗證參考標準 下載 mobi epub pdf 電子書軟件安全開發指南――應用軟件安全級彆驗證參考標準 mobi epub pdf txt 電子書 格式下載 2024