资 讯

网站建设、app开发、微信开发、网络营销知识汇聚

We provide professional and all-round information services to enterprises from all levels and angles

软件开发APP安全怎么保障
admin 2018-07-23

创建特定于应用程序、平台或组织的安全编码清单。将ASVS调整到软件开发过程中的用例,将加强对项目和环境最重要安全要求的关注。
  1.2.1 1级验证标准:取巧级
  如果APP开发教程应用程序充分防范《OWASP Top 10》和其他类似清单中包含的安全漏洞,它就实现了ASVS 1级(或取巧级)。
  ASVS 1级验证标准通常适用于具有较低安全控制需求的应用程序、对应用程序进行快速分析、协助编制安全需求的优先级列表。ASVS 1级验证标准可以通过I具自动完成,也可以通过无须访问源代码的简单手动操作完成。我们认为,ASVS 1级验证标准是应用程序所需的最低标准。
  应用程序的威胁很可能来自攻击者。攻击者会使用容易发现和容易利用的漏洞对应用程序进行攻击。这与一个 意志坚定的攻击者形成对比,后者将把精力集中在具体的应用程序上。如果组织机构的应用程序处理的数据具有很高的价值,那么组织机构会希望不仅仅是1级安全检查。
  1.2.2 2级验证标准:标准级
  如果应用程序能够充分抵御当前与软件相关的大部分风险,那么应用程序就实现了ASVS 2级(或标准级)。
  ASVS 2级验证标准确保安全控制在应用程序中被恰当、有效地使用。ASVS 2级验证标准通常适用于处理重要业务交易的应用程序,
OWASP应用程序安全性验证标准》可用作应用程序的开放式验证标准,包括无限制地访问关键资源(如架构师、开发人员)、项目文档、源代码、验证的访问测试系统(包括各角色至少访问一个账户),特别是ASVS 2级和ASVS 3级验证标准。
  通常,渗透测试和安全代码审查包括”异常”的问题只在最终报告中才会出现。组织必须在相关报告中包括验证范围(特别是,如果关键组件超出范围的情况,例如, SSO认证)、验证结果的摘要,包括通过和失败的测试,并明确指出如何解决测试失败。
  保存详细的工作文件、屏幕截图或电影、可靠的和重复暴露问题的脚本、电子测试记录(例如,代理日志、相关注释等)被认为是标准行业实践,并且可以作为开发者非常有用的研究证据。简单地运行

  源。两个主要的安全架构框架SABSA或TOGAF都缺少完成应用程序安全体系结构审查所需的大量信息。ASVS可用于填补这些差距,允许APP开发教程安全架构师为常见问题(如数据保护模式和输入验证策略)选择更好的控制。
  2.5用作现有安全编码清单的替代
  许多组织可以通过采用ASVS,选择3个层次之一,或通过划分ASVS并以特定于域的方式更改每个应用程序风险级别所需的内容。只要维护可追溯性,我们就鼓励这种类型的分支,因此,如果应用程序已经通过了第4.1条的要求,这就意味着分支副本与标准一样可行。
  2.6用作自动化单元和集成测试指南
  ASVS被设计为高度可测试,除架构和恶意代码要求外。通过构建测试特定和相关的模糊和滥用情况的单元和集成测试,该应用程序几乎能自动验证每个构建。例如,可以通过登录控制器的测试套件,利用常用用户名的用户名参数、账户枚举、暴力破解、LDAP、  SQL注入及XSS制作额外的测试。类似地,密码参数测试应包括常用密码、密码长度、空字节注入、删除参数、XSS、账号枚举等。
  2.7用作安全开发培训
  ASVS也可用于定义安全软件的特性。许多“安全编码”  课程只是道德黑客课程,具有轻微的编码技巧,这不利于开发人员学习和提升。相反,安全开发课程可以使用ASVS来强调ASVS中的主动控制,而不是仅遵从《OWASP Top 10中列明的内容》。

最常见的Web应用程序安全性、脆弱性是由于在使用程序输入内容之前,没有正确合理地验证来自客户端或外部环境的输入。这一脆弱性几乎导致了Web应用程序中的所有关键漏洞,如跨站脚本攻击、SQL注入、解释器注入、locale/Unicode攻击、 文件系统攻击和缓冲区溢出。
  确保经验证后的应用程序满足如下高级别要求:
  ( 1 )验证所有输入是正确的,符合预期目的APP开发教程
  (2 )绝不信任来自外部实体或客户端的数据,应该采取相应的处理措施。

 

  • 上一篇:扩展下iOS系统的字典应用
  • 下一篇:app开发四大组件之-Activity
  • © 2011-2020 www.keyrey.com 上海科睿网络科技有限公司 © 版权所有 沪ICP备12032097号-1
    友情链接 : 上海app开发 app开发公司 app制作 手机软件开发 手机软件开发公司 小程序开发 上海网站制作公司
    QQ在线咨询

    上海app开发QQ在线咨询 上海app开发QQ在线咨询
    电话咨询
    400-877-9280 app开发公司电话咨询
    即时在线咨询 手机软件开发即时在线咨询
    微信扫一扫
    添加app制作微信 上海网站制作公司微信
    科睿网络-互联网开发营销专家

    凡事有交代 件件有着落 事事有回应

    立即获取为您量身定制的开发营销方案

    咨询热线 400-877-9280