owasp asvs - 腾讯云开发者社区

文章/答案/技术大牛

发布

2回答

针对一组被破坏的密码进行密码验证

、、

NIST和OWASP ASVS建议检查密码与从以前的数据破坏中获得的密码。这是来自OWASP ASVS的确切建议。

浏览 0提问于2021-04-22得票数 2

回答已采纳

1回答

如何开始渗透测试？

、

我目前是几个应用程序的安全分析人员，并且愿意从future.To的渗透测试开始，我需要什么样的技能集来开发像工具和概念这样的技能？请指导我与良好的学习网页链接。

浏览 0提问于2016-04-12得票数 -1

5回答

安全软件开发清单

、

我找到的唯一的文档是：https://www.owasp.org/images/0/08/OWASP_SCP_快的_参考文献_指南_v2.pdf https://www.owasp.org/images/5/58/OWASP_ASVS_版本_2.pdf。

浏览 0提问于2015-03-11得票数 4

回答已采纳

2回答

为什么OWASP需要HTTP响应才能有指定字符集的内容头呢？

、、、

OWASP应用程序安全验证标准(ASVS)第3版在第V11.2条中规定：验证每个HTTP响应都包含指定安全字符集(例如，UTF-8、ISO 8859-1)的内容类型标头。

浏览 0提问于2016-05-04得票数 4

1回答

OWASP ASVS有多相关？

、、、

OWASP应用程序安全验证标准有多相关？你有没有把它作为企业的一项要求？还有哪些其他与业务相关的应用程序安全标准？我确实想找他们，但是只有OWASP ASVS弹出了.

浏览 0提问于2016-05-25得票数 4

回答已采纳

1回答

web服务的“适当”请求大小限制是什么？

、、

OWASP ASVS第18.4点指出目前，我对所有web服务的输入限制为50 web。(在Microsoft中，这似乎是默认的。)

浏览 0提问于2017-06-27得票数 0

回答已采纳

1回答

在IoT设备中防回滚保护的目的是什么？

、、

为了防止固件回滚，OWASP物联网前十和ASVS附录C警告：这样做的目的是什么？在什么情况下，这提供了保护？

浏览 0提问于2020-06-23得票数 2

2回答

应用于web应用程序的ISO标准

、、、

适用于web应用程序的ISO标准是什么？我的意思是，是否有任何标准可以遵循，以满足ISO的要求。提前感谢:)

浏览 2提问于2014-09-26得票数 3

1回答

是否有一个安全等级标准，我可以申请到我的MVC3网站？

、

我正在寻找一套标准化的测试或评分措施，我可以应用到我的网站，以便能够量化它的标准或级别的安全性。我可以做一些研究并自己编写一份清单，但我希望有一些标准化的东西，一些独立于我的东西，我的客户和我们网站的用户将欣赏不仅仅是我编译的东西。

浏览 0提问于2012-02-16得票数 0

回答已采纳

2回答

要求客户端验证的OWASP ASVS？

、、

在仔细阅读ASVS 3.0.1时，我遇到了需求V5.18：嗯..。客户端验证没有任何安全好处吗？

浏览 0提问于2016-09-06得票数 1

回答已采纳

1回答

在网站上处理银行信息(不存储)

、、、、

我有使用均值栈的网站，并通过HTTPS访问。我希望用户输入他们的银行帐户详细信息，但我不想存储银行详细信息(因为我认为可能存在责任和安全方面的问题)。然后这些信息将被发送到像Transferwise这样的第三方网站，在那里我可以将钱发送到用户的银行账户。我的问题是，当我在我的网站上输入用户数据时，我需要采取任何安全预防措施吗？

浏览 16提问于2020-08-12得票数 0

2回答

在用户已经登录时更改密码的最佳实践

我没有在OWASP备忘单或ASVS中找到这个建议。我同意第二因素确认总是一个更安全的解决方案，比如使用SMS代码验证/电子邮件代码验证，但是它是一个标准的解决方案还是一个附加的安全功能？

浏览 0提问于2021-04-26得票数 3

回答已采纳

1回答

这些密码组合规则是否被视为我的安全计划中的策略或标准？

、、

我有一个学术项目，我需要制定一个安全计划。至少有9个字符至少有一个特殊字符其他一些规则呢，例如：对不同的登录使用不同的密码

浏览 13提问于2022-06-08得票数 1

1回答

OWASP CheckList网络

我们的程序员现在需要使用OWASP (ASVs3.0)并填写清单。这个过程处于"alpha模式“，我们仍然在了解它。

浏览 4提问于2018-11-06得票数 0

1回答

如何接近Web应用程序？

、、、

我在这个应用程序上做测试，如果我们只以登录url作为起点。如何拓展我的视野？我想把我的表面弄得更宽一些，真的有点粘在这上面了。

浏览 0提问于2020-03-31得票数 0

回答已采纳

2回答

考虑到我是一个数学PhD，是否有一种定制的方式进入web应用程序黑客？

我是一名数学家，我有PhD，我擅长于随机过程，金融，定价和套利理论，我在Q1杂志上发表过文章，但我仍然觉得我遗漏了一些东西.你能建议我采取什么具体措施来接近这一领域的工作吗？我擅长数学，我能写和读代码(在python方面有很多经验，在c++方面也有一些经验)，我认为我擅长学习。

浏览 0提问于2023-01-09得票数 1

3回答

ASP.NET MVC安全检查列表

、、、

我计划在ASP.NET MVC 2 (3)上创建一个新的网站。有没有人有一个完整的(如果可能的话)检查清单，我应该通过的行动或方法，以避免大多数安全问题？

浏览 0提问于2010-11-11得票数 16

1回答

如何在Ghidra中导出函数的二进制代码(Ghidra脚本)

、

from ghidra.app.util.exporter import BinaryExporter functions = fm.getFunctions(True) function_ASVs.append(f.getBody()) with open("C:\Users\Me\Desktop\target_file.

浏览 82提问于2020-12-05得票数 0

1回答

Facebook Oauth2客户端凭据是否不安全，因为它在GET中发送登录凭据请求？

、

Facebook Apptoken使用OAuth2客户端凭据代码。但是client_id和client_secret通过HTTP方法发送到服务器。这不是不安全吗？我想是不安全的。还是我漏掉了什么？还有其他更安全的方法来实现您所知道的客户端凭据吗？ 📷

浏览 0提问于2020-03-14得票数 3

回答已采纳

1回答

在遵循ASVS标准后，我们需要进行威胁建模吗？

、、

作为其中的一部分，我们计划采用基于ASVS标准的安全知识框架(SKF)来确定安全需求。通过指定成熟度级别和选择正确的类别，该框架将数百个检查点降到少数几个安全需求，然后团队就可以实现这些需求。在采用ASVS标准之后，我们需要进行威胁建模吗？如果是的话，假设通过ASVS检查表确定的安全要求涵盖了可能的威胁，那么它会增加什么价值？

浏览 0提问于2021-12-16得票数 1

点击加载更多