Web应用安全检查级别及关注点

本文档根据OWASP的ASVS（Application Security Verification Standards）项目整理各种类型Web应用的安全检查级别，并摘选出我们对安全性的关注点。

• 安全检查级别

Web应用的安全检查级别从低到高可以划分为四个级别，其中第一和第二级别有包含两个子级别。
低级别的检查注重对自动化工具的使用、高级别的检查则强调必须使用人工的方式进行检查。显然依赖工具还远远不能满足Web应用对安全性的较高要求。


Level 1自动检查

• 适用于仅对应用的安全性有些信心即可的项目。
• 先用自动化工具进行检查，然后必须再人工对工具的检查结果进行逐个确认。

     必须包含Level 1A和Level 1B：

• Level 1A：使用自动化工具对应用进行动态的脆弱性扫描。
• Level 1B：使用自动化工具对程序源代码进行安全性分析扫描。
  

Level 2人工检查

• 适用于涉及隐私信息的系统，比如典型的B2B应用。
• 包含Level 1的所有检查方式及检查范围；
• 强调必须是人工检查，可以辅助各种自动化或非自动化的工具。
• 需要检查应用程序自身的以及为应用提供安全功能的第三方组件。

   必须包含Level 2A和Level 2B：

• Level 2A：人工安全性测试，可以使用辅助工具。
• Level 2B：人工代码Review，可以使用辅助工具。

Level 3设计检查

• 适用于涉及对隐私要求更严格的应用，比如涉及健康或交易信息的B2B应用。
• 包含Level 1、Level 2的所有检查方式及检查范围。
• 确定安全控制在所有功能都被恰当使用，并且要在服务器端集中实现安全管理。
• 需要检查应用程序自身的以及为应用提供服务（包括安全）的第三方组件。
• 强调文档化，需要提供应用的安全架构文档。

Level 4内部检查

• 适用于涉及生命安全、国家防御等至关重要的应用。
• 包含Level 1、Level 2、Level 3的所有检查方式及检查范围。
• 需要检查除了应用服务器、数据库、操作系统之外的所有程序代码，包括框架、类库、运行环境以及开发/构建/部署工具。

• 安全性关注点

按照上述Level 3级别的安全性检查要求，结合对Web应用常见风险应对措施的分析，总结出如下安全性关注要点。
从这些关注点入手可以降低几乎所有典型的Web应用安全风险（比如，SQL注入、跨站脚本、敏感信息泄露等）。

• 建议

Web应用的安全性从根本上还是要依赖在开发阶段的良好基础，因此建议开发人员应该谨记Web应用的安全风险及相关安全开发最佳实践。
严格的安全性测试还是要注重人工的检查和确认，期间可以借助工具但是不能完全依赖工具。