OWASP ASVS

Projekt OWASP Application Security Verification Standard (ASVS) stanowi podstawę do testowania technicznych zabezpieczeń aplikacji internetowych, a także zapewnia programistom listę wymagań dotyczących bezpiecznego rozwoju.

V1.Architektura (0)

Architektura, projektowanie i modelowanie zagrożeń omawia solidne aspekty architektury bezpieczeństwa, które decydują o standardach i jakości rozwiązania systemu YetiForce

V4. Kontrola dostępu (0)

Scentralizowana kontrola dostępu nadzoruje dostęp do zasobów przez zautoryzowanych użytkowników / urządzenia. Dobrze zaprojektowana pozwala na pełną kontrolę nad zasobami w czasie rzeczywistym

V7. Obsługa i rejestracja błędów (0)

Poprawna obsługa i rejestracja błędów dostarczy wysokiej jakości logi i przydatne informacje dla użytkowników, administratorów i zespołów reagowania na incydenty

V10. Złośliwy kod (0)

Należy wdrożyć odpowiednie procedury bezpieczeństwa i weryfikacji dla każdego kodu wprowadzanego bezpośrednio do aplikacji lub pośrednio za pomocą bibliotek zewnętrznych

V13. API i usługi sieciowe (0)

API i usługi sieciowe powinny posiadać zaufaną warstwę bezpieczeństwa uwzględniającą uwierzytelnianie, zarządzanie sesjami i autoryzacje wszystkich żądań pochodzących z zewnątrz

V2. Uwierzytelnianie (0)

Uwierzytelnianie to czynność polegająca na potwierdzeniu osoby lub rzeczy jako autentycznej oraz roszczenia złożone przez osobę lub urządzenie są poprawne i odporne na podszywanie się

V5. Walidacja i czyszczenie (0)

Walidacja, oczyszczanie i weryfikacja kodu to klucz do bezpieczeństwa systemu, który przetwarza informacje z zewnątrz. Źle zaprojektowana jest najczęstszą przyczyną udanych ataków

V8. Ochrona danych (0)

Ochrona danych na wysokim poziomie oznacza poufność, integralność i dostępność danych, która jest egzekwowana przez zaufany serwer i aplikację oraz bezpieczną komunikację

V11. Logika biznesowa (0)

Logika biznesowa aplikacji powinna być sekwencyjna, przetwarzana w kolejności oraz co najważniejsze nie może być pomijana, dodatkowo powinna być odporna na zautomatyzowane ataki

V14. Konfiguracja (0)

Bezpieczna konfiguracja serwera jest równie ważna jak konfiguracja aplikacji, dlatego należy wdrożyć najlepsze praktyki i zalecenia dla całej infrastruktury i wszystkich środowisk aplikacyjnych

V3. Zarządzanie sesją (0)

Zarządzanie sesją to jeden z kluczowych mechanizmów, który zmienia protokół bezstanowy na pełnostanowy a następnie utrzymuje ten stan podczas współpracy z użytkownikiem / urządzeniem

V6. Kryptografia (1)

Systemy przechowujące istotne dane muszą stosować silne mechanizmy kryptograficzne a poziom zabezpieczeń musi być adekwatny do danych jakie są przez ten system przetwarzane

V9. Komunikacja (0)

Komunikacja to bezpieczna wymiana danych pomiędzy użytkownikiem / urządzeniem a systemem, dlatego dobór standardów i sposobu szyfrowania jest kluczowy dla bezpieczeństwa

V12. Pliki i zasoby (0)

Wdrożenie standardów i procedur dla plików i zasobów, pozwoli na dopasowanie odpowiedniego poziomu bezpieczeństwa z uwzględnieniem źródła oraz rodzaju pliku lub zasobu