Web应用安全检查级别及关注点
上一篇 /
下一篇 2011-09-03 09:44:41
/ 个人分类:Web应用安全
本文档根据OWASP的ASVS(Application Security Verification Standards)项目整理各种类型Web应用的安全检查级别,并摘选出我们对安全性的关注点。
Web应用的安全检查级别从低到高可以划分为四个级别,其中第一和第二级别有包含两个子级别。
低级别的检查注重对自动化工具的使用、高级别的检查则强调必须使用人工的方式进行检查。显然依赖工具还远远不能满足Web应用对安全性的较高要求。
Level 1自动检查- 适用于仅对应用的安全性有些信心即可的项目。
- 先用自动化工具进行检查,然后必须再人工对工具的检查结果进行逐个确认。
必须包含Level 1A和Level 1B:
- Level 1A:使用自动化工具对应用进行动态的脆弱性扫描。
- Level 1B:使用自动化工具对程序源代码进行安全性分析扫描。
Level 2人工检查- 适用于涉及隐私信息的系统,比如典型的B2B应用。
- 包含Level 1的所有检查方式及检查范围;
- 强调必须是人工检查,可以辅助各种自动化或非自动化的工具。
- 需要检查应用程序自身的以及为应用提供安全功能的第三方组件。
必须包含Level 2A和Level 2B:
- Level 2A:人工安全性测试,可以使用辅助工具。
- Level 2B:人工代码Review,可以使用辅助工具。
Level 3设计检查- 适用于涉及对隐私要求更严格的应用,比如涉及健康或交易信息的B2B应用。
- 包含Level 1、Level 2的所有检查方式及检查范围。
- 确定安全控制在所有功能都被恰当使用,并且要在服务器端集中实现安全管理。
- 需要检查应用程序自身的以及为应用提供服务(包括安全)的第三方组件。
- 强调文档化,需要提供应用的安全架构文档。
Level 4内部检查- 适用于涉及生命安全、国家防御等至关重要的应用。
- 包含Level 1、Level 2、Level 3的所有检查方式及检查范围。
- 需要检查除了应用服务器、数据库、操作系统之外的所有程序代码,包括框架、类库、运行环境以及开发/构建/部署工具。
按照上述
Level 3级别的安全性检查要求,结合对Web应用常见风险应对措施的分析,总结出如下安全性关注要点。
从这些关注点入手可以降低几乎所有典型的Web应用安全风险(比如,
SQL注入、跨站脚本、敏感信息泄露等)。
Web应用的安全性从根本上还是要依赖在开发阶段的良好基础,因此建议开发人员应该谨记Web应用的安全风险及相关安全开发最佳实践。
严格的安全性测试还是要注重人工的检查和确认,期间可以借助工具但是不能完全依赖工具。
收藏
举报
TAG: