ข้อกําหนดของ CASA

จัดทุกอย่างให้เป็นระเบียบอยู่เสมอด้วยคอลเล็กชัน บันทึกและจัดหมวดหมู่เนื้อหาตามค่ากำหนดของคุณ

ภาพรวม

CASA ประกอบด้วยข้อกําหนด 134 ข้อที่ครอบคลุมทุกระดับการรับประกันของ OWASP' Standard Security Verification Standard (ASVS) ข้อกําหนดทุกข้อต้องเป็นไปตามระดับในทุกระดับ ความแตกต่างเพียงอย่างเดียวระหว่างแต่ละระดับคือวิธีการประเมินที่ใช้

คําจํากัดความของข้อกําหนด

  • ตัวระบุ: ข้อกําหนดแต่ละรายการมีตัวระบุในรูปแบบ <chapter>.<section>.<requirement> โดยแต่ละองค์ประกอบคือตัวเลข เช่น 1.11.3

  • บท: ส่วนเนื้อหาที่ต้องการมีข้อกําหนด 14 บท

  • ส่วน: แต่ละบทจะแบ่งออกเป็นส่วน มีทั้งหมด 43 ส่วน

  • คําอธิบายคําขอ: คําอธิบายข้อกําหนดนี้ซึ่งอธิบายว่าจะดําเนินการตรวจสอบตามข้อกําหนดเฉพาะใด

  • เว็บ: ข้อกําหนดนี้เกี่ยวข้องกับเว็บแอปพลิเคชัน แอปพลิเคชันระบบคลาวด์ แอปพลิเคชันเซิร์ฟเวอร์ หรือแบบผสม

  • ในเครื่อง: ข้อกําหนดดังกล่าวเกี่ยวข้องกับแอปพลิเคชันที่ไม่ได้เก็บข้อมูลใดๆ ไว้นอกไคลเอ็นต์ (อุปกรณ์เคลื่อนที่ พีซี..) หรือไม่

  • โครงสร้างพื้นฐาน: ข้อกําหนดนี้เกี่ยวข้องกับแอปพลิเคชันหรือการสื่อสารแบ็กเอนด์ของแอปพลิเคชัน

  • CWE: ตัวระบุที่ไม่ซ้ํากันของการแจกแจงจุดอ่อนทั่วไป

  • การจัดอันดับ CWE: อันดับช่องโหว่การแจกแจงจุดอ่อนที่พบบ่อย (สูง ปานกลาง ต่ํา)

รายการข้อกําหนด

ตัวระบุ บท ส่วน คําอธิบายคําขอ เว็บ Google+ Local โครงสร้างพื้นฐาน CWE การจัดอันดับ CWE
เวอร์ชัน 1.2.2 สถาปัตยกรรม การออกแบบ และการสร้างแบบจําลองภัยคุกคาม สถาปัตยกรรมการตรวจสอบสิทธิ์ ยืนยันว่าการสื่อสารระหว่างคอมโพเนนต์ของแอปพลิเคชัน ซึ่งรวมถึง API, มิดเดิลแวร์ และชั้นข้อมูลได้รับการตรวจสอบสิทธิ์ คอมโพเนนต์ควรมีสิทธิ์ที่จําเป็นน้อยที่สุด ([C3](https://owasp.org/www-project-proactive-controls/#div-numbering)) ได้ ได้ ไม่ได้ 306 สูง
เวอร์ชัน 1.2.3 สถาปัตยกรรม การออกแบบ และการสร้างแบบจําลองภัยคุกคาม สถาปัตยกรรมการตรวจสอบสิทธิ์ ยืนยันว่าแอปพลิเคชันใช้กลไกการตรวจสอบสิทธิ์ที่ผ่านการตรวจสอบแล้วว่าเป็นที่ทราบว่าปลอดภัย สามารถขยายความสามารถเพื่อให้มีการตรวจสอบสิทธิ์อย่างเข้มงวด และมีการบันทึกและการตรวจสอบอย่างเพียงพอเพื่อตรวจจับการละเมิดบัญชีหรือการละเมิด ได้ ได้ ไม่ได้ 306 สูง
เวอร์ชัน 1.4.1 สถาปัตยกรรม การออกแบบ และการสร้างแบบจําลองภัยคุกคาม สถาปัตยกรรมการควบคุมการเข้าถึง ยืนยันว่าการบังคับใช้การบังคับใช้ที่เชื่อถือได้ เช่น เกตเวย์การควบคุมการเข้าถึง เซิร์ฟเวอร์ และฟังก์ชัน Serverless บังคับใช้การควบคุมการเข้าถึง ไม่บังคับใช้การควบคุมการเข้าถึงในไคลเอ็นต์ ไม่ได้ ไม่ได้ ได้ 602 สื่อ
เวอร์ชัน 1.4.4 สถาปัตยกรรม การออกแบบ และการสร้างแบบจําลองภัยคุกคาม สถาปัตยกรรมการควบคุมการเข้าถึง ยืนยันว่าแอปพลิเคชันใช้กลไกควบคุมการเข้าถึงเพียงแห่งเดียวและได้รับการตรวจสอบอย่างดีเพื่อเข้าถึง ข้อมูลและทรัพยากรที่มีการป้องกัน คําขอทั้งหมดต้องผ่านกลไกเดี่ยวนี้เพื่อหลีกเลี่ยง การคัดลอกและวางหรือเส้นทางสํารองที่ไม่ปลอดภัย ([C7](https://owasp.org/www-project-proactive-controls/#div-numbering)) ได้ ได้ ไม่ได้ 284 สูง
เวอร์ชัน 1.5.2 สถาปัตยกรรม การออกแบบ และการสร้างแบบจําลองภัยคุกคาม สถาปัตยกรรมอินพุตและเอาต์พุต ยืนยันว่าไม่ได้ใช้การจัดลําดับเมื่อสื่อสารกับลูกค้าที่ไม่น่าเชื่อถือ หากทําไม่ได้ ให้ตรวจสอบว่าได้บังคับใช้การควบคุมความสมบูรณ์ที่เหมาะสมแล้ว (และอาจเข้ารหัสหากมีการส่งข้อมูลที่ละเอียดอ่อน) เพื่อป้องกันการโจมตีด้วยการตัดข้อความออก รวมถึงการแทรกออบเจ็กต์ ไม่ได้ ไม่ได้ ได้ 502 สื่อ
เวอร์ชัน 1.5.3 สถาปัตยกรรม การออกแบบ และการสร้างแบบจําลองภัยคุกคาม สถาปัตยกรรมอินพุตและเอาต์พุต ยืนยันว่ามีการบังคับใช้การตรวจสอบข้อมูลในเลเยอร์บริการที่เชื่อถือได้ ([C5](https://owasp.org/www-project-proactive-controls/#div-numbering)) ไม่ได้ ไม่ได้ ได้ 602 สื่อ
เวอร์ชัน 1.5.4 สถาปัตยกรรม การออกแบบ และการสร้างแบบจําลองภัยคุกคาม สถาปัตยกรรมอินพุตและเอาต์พุต ตรวจสอบว่าการเข้ารหัสเอาต์พุตเกิดขึ้นใกล้กับหรือล่ามที่ตั้งใจใช้ไว้ ([C4](https://owasp.org/www-project-proactive-controls/#div-numbering)) ไม่ได้ ไม่ได้ ได้ 116 สูง
เวอร์ชัน 1.8.1 สถาปัตยกรรม การออกแบบ และการสร้างแบบจําลองภัยคุกคาม การคุ้มครองข้อมูลและสถาปัตยกรรมความเป็นส่วนตัว ยืนยันว่าข้อมูลที่ละเอียดอ่อนได้รับการระบุและจัดประเภทไว้ในระดับการป้องกัน ไม่ได้ ไม่ได้ ได้

เวอร์ชัน 1.8.2 สถาปัตยกรรม การออกแบบ และการสร้างแบบจําลองภัยคุกคาม การคุ้มครองข้อมูลและสถาปัตยกรรมความเป็นส่วนตัว ตรวจสอบว่าระดับการป้องกันทั้งหมดมีชุดข้อกําหนดในการป้องกันที่เกี่ยวข้อง เช่น ข้อกําหนดการเข้ารหัส ข้อกําหนดความสมบูรณ์ การเก็บรักษา ความเป็นส่วนตัว และข้อกําหนดด้านการรักษาข้อมูลที่เป็นความลับอื่นๆ และมีการใช้ข้อกําหนดเหล่านี้ในสถาปัตยกรรม ไม่ได้ ไม่ได้ ได้

เวอร์ชัน 1.9.1 สถาปัตยกรรม การออกแบบ และการสร้างแบบจําลองภัยคุกคาม สถาปัตยกรรมการสื่อสาร ตรวจสอบว่าแอปพลิเคชันเข้ารหัสการสื่อสารระหว่างคอมโพเนนต์ โดยเฉพาะเมื่อคอมโพเนนต์เหล่านี้อยู่ในคอนเทนเนอร์ ระบบ เว็บไซต์ หรือผู้ให้บริการระบบคลาวด์ต่างๆ ([C3](https://owasp.org/www-project-proactive-controls/#div-numbering)) ไม่ได้ ไม่ได้ ได้ 319 สูง
เวอร์ชัน 1.11.3 สถาปัตยกรรม การออกแบบ และการสร้างแบบจําลองภัยคุกคาม สถาปัตยกรรมตรรกะทางธุรกิจ ยืนยันว่าขั้นตอนตรรกะทางธุรกิจที่มีมูลค่าสูงทั้งหมด ซึ่งรวมถึงการตรวจสอบสิทธิ์ การจัดการเซสชัน และการควบคุมการเข้าถึงปลอดภัยและทนทานต่อเงื่อนไขการตรวจสอบและเวลาที่ใช้ในการแข่งขัน ไม่ได้ ไม่ได้ ได้ 367 สื่อ
เวอร์ชัน 1.14.1 สถาปัตยกรรม การออกแบบ และการสร้างแบบจําลองภัยคุกคาม สถาปัตยกรรมการกําหนดค่า ตรวจสอบการแยกคอมโพเนนต์ของระดับความน่าเชื่อถือต่างๆ ผ่านการควบคุมความปลอดภัยที่กําหนดไว้อย่างดี, กฎไฟร์วอลล์, เกตเวย์ API, พร็อกซีแบบย้อนกลับ, กลุ่มความปลอดภัยในระบบคลาวด์ หรือกลไกที่คล้ายกัน ไม่ได้ ไม่ได้ ได้ 923 สื่อ
เวอร์ชัน 1.14.2 สถาปัตยกรรม การออกแบบ และการสร้างแบบจําลองภัยคุกคาม สถาปัตยกรรมการกําหนดค่า ยืนยันว่ามีการใช้ลายเซ็นไบนารี การเชื่อมต่อที่เชื่อถือได้ และปลายทางที่ยืนยันแล้วเพื่อทําให้ไบนารีใช้งานได้กับอุปกรณ์ระยะไกล ไม่ได้ ไม่ได้ ได้ 494 สื่อ
เวอร์ชัน 1.14.3 สถาปัตยกรรม การออกแบบ และการสร้างแบบจําลองภัยคุกคาม สถาปัตยกรรมการกําหนดค่า ตรวจสอบว่าไปป์ไลน์บิวด์เตือนคอมโพเนนต์ที่ล้าสมัยหรือที่ไม่ปลอดภัย และดําเนินการตามความเหมาะสม ไม่ได้ ไม่ได้ ได้ 1104 ต่ำ
เวอร์ชัน 1.14.4 สถาปัตยกรรม การออกแบบ และการสร้างแบบจําลองภัยคุกคาม สถาปัตยกรรมการกําหนดค่า ยืนยันว่าไปป์ไลน์บิลด์มีขั้นตอนการสร้างและยืนยันการทําให้แอปพลิเคชันใช้งานได้อย่างปลอดภัย โดยเฉพาะหากโครงสร้างพื้นฐานของแอปพลิเคชันกําหนดเป็นซอฟต์แวร์ เช่น สคริปต์บิลด์ของสภาพแวดล้อมระบบคลาวด์ ไม่ได้ ไม่ได้ ได้

เวอร์ชัน 1.14.5 สถาปัตยกรรม การออกแบบ และการสร้างแบบจําลองภัยคุกคาม สถาปัตยกรรมการกําหนดค่า ตรวจสอบว่าแอปพลิเคชันทําให้แซนด์บ็อกซ์ใช้งานได้เพียงพอ จัดการคอนเทนเนอร์ และ/หรือแยกข้อมูลออกในระดับเครือข่ายเพื่อหน่วงเวลาและป้องกันผู้โจมตีจากการโจมตีแอปพลิเคชันอื่น โดยเฉพาะเมื่อมีการดําเนินการที่ละเอียดอ่อนหรือเป็นอันตราย เช่น การถอดรหัส ([C5](https://owasp.org/www-project-proactive-controls/#div-numbering)) ได้ ได้ ไม่ได้ 265 ต่ำ
เวอร์ชัน 1.14.6 สถาปัตยกรรม การออกแบบ และการสร้างแบบจําลองภัยคุกคาม สถาปัตยกรรมการกําหนดค่า ยืนยันว่าแอปพลิเคชันไม่ได้ใช้เทคโนโลยีฝั่งไคลเอ็นต์ที่ไม่รองรับ ไม่ปลอดภัย หรือเลิกใช้งาน เช่น ปลั๊กอิน NSAPI, Flash, Shockwave, ActiveX, Silverlight, NACL หรือแอปเพล็ต Java ฝั่งไคลเอ็นต์ ได้ ได้ ไม่ได้ 477 สื่อ
เวอร์ชัน 2.2.1 การตรวจสอบสิทธิ์ การรักษาความปลอดภัยของ Authenticator ทั่วไป ตรวจสอบว่าการควบคุมการป้องกันอัตโนมัติมีประสิทธิภาพในการบรรเทาการทดสอบข้อมูลเข้าสู่ระบบที่ถูกโจมตี บังคับแบบ Brute Force และล็อกบัญชีไม่ให้เข้าสู่ระบบ การควบคุมดังกล่าวรวมถึงการบล็อกรหัสผ่านที่ละเมิดซึ่งพบได้บ่อยที่สุด การล็อกไม่ให้เข้าสู่ระบบชั่วคราว การจํากัดอัตรา CAPTCHA ไปจนถึงความล่าช้าเพิ่มขึ้นเรื่อยๆ ระหว่างความพยายาม การจํากัดที่อยู่ IP หรือข้อจํากัดที่อิงตามความเสี่ยง เช่น ตําแหน่ง การเข้าสู่ระบบอุปกรณ์ครั้งแรก การพยายามปลดล็อกบัญชีครั้งล่าสุด หรือการดําเนินการที่คล้ายกันนี้ ยืนยันว่ารองรับความพยายามที่ไม่สําเร็จไม่เกิน 100 ครั้งต่อชั่วโมงในบัญชีเดียว ไม่ได้ ไม่ได้ ได้ 307 สื่อ
เวอร์ชัน 2.2.4 การตรวจสอบสิทธิ์ การรักษาความปลอดภัยของ Authenticator ทั่วไป ยืนยันความต้านทานการแอบอ้างบุคคลอื่นต่อฟิชชิง เช่น การใช้การตรวจสอบสิทธิ์แบบหลายปัจจัย, อุปกรณ์การเข้ารหัสลับที่มีความตั้งใจ (เช่น คีย์ที่เชื่อมต่อด้วยการกดเพื่อตรวจสอบสิทธิ์) หรือใบรับรองฝั่งไคลเอ็นต์ในระดับ AAL ที่สูงขึ้น ไม่ได้ ไม่ได้ ได้ 308 สูง
เวอร์ชัน 2.2.5 การตรวจสอบสิทธิ์ การรักษาความปลอดภัยของ Authenticator ทั่วไป ยืนยันว่ามีการแยกผู้ให้บริการข้อมูลเข้าสู่ระบบ (CSP) และแอปพลิเคชันยืนยันการตรวจสอบสิทธิ์ไว้แยกกัน TLS ที่มีการตรวจสอบสิทธิ์ร่วมกันจะอยู่ระหว่างปลายทาง 2 จุด ไม่ได้ ไม่ได้ ได้ 319 สูง
เวอร์ชัน 2.3.1 การตรวจสอบสิทธิ์ วงจร Authenticator ยืนยันว่ารหัสผ่านเริ่มต้นหรือรหัสเปิดใช้งานที่ระบบสร้างขึ้นอย่างสุ่ม ควรสร้างขึ้นอย่างปลอดภัย โดยควรมีความยาวอย่างน้อย 6 อักขระ และ "อาจ" ประกอบด้วยตัวอักษรและตัวเลข และจะหมดอายุเมื่อผ่านไปสักระยะ ข้อมูลลับเริ่มต้นเหล่านี้ต้องไม่ได้รับอนุญาตเป็นรหัสผ่านระยะยาว ไม่ได้ ไม่ได้ ได้ 330 สูง
เวอร์ชัน 2.4.1 การตรวจสอบสิทธิ์ ที่เก็บข้อมูลเข้าสู่ระบบ ยืนยันว่ารหัสผ่านจัดเก็บในรูปแบบที่ป้องกันการโจมตีออฟไลน์ได้ ระบบจะสุ่มและแฮชรหัสผ่านโดยใช้ฟังก์ชันการดึงคีย์ทางเดียวหรือฟังก์ชันการแฮชรหัสผ่านที่ได้รับอนุมัติ ฟังก์ชันการแฮชรหัสผ่านและการแฮชรหัสผ่านจะใช้รหัสผ่าน, Salt และปัจจัยด้านต้นทุนเป็นอินพุตเมื่อสร้างแฮชรหัสผ่าน ([C6](https://owasp.org/www-project-proactive-controls/#div-numbering)) ไม่ได้ ไม่ได้ ได้ 916 ต่ำ
เวอร์ชัน 2.4.3 การตรวจสอบสิทธิ์ ที่เก็บข้อมูลเข้าสู่ระบบ ยืนยันว่าหากใช้ PBKDF2 จํานวนการทําซ้ําควรมากเท่ากับประสิทธิภาพของเซิร์ฟเวอร์การยืนยัน ซึ่งโดยปกติแล้วจะมีการดําเนินการซ้ําอย่างน้อย 100,000 ครั้ง ([C6](https://owasp.org/www-project-proactive-controls/#div-numbering)) ไม่ได้ ไม่ได้ ได้ 916 ต่ำ
เวอร์ชัน 2.4.5 การตรวจสอบสิทธิ์ ที่เก็บข้อมูลเข้าสู่ระบบ ยืนยันว่ามีการดําเนินการเพิ่มเติมของฟังก์ชันการทําซ้ําที่สําคัญโดยใช้ค่า Salt ซึ่งเป็นความลับและมีเฉพาะผู้ยืนยันเท่านั้นที่ทราบ สร้างค่าเกลือโดยใช้โปรแกรมสร้างบิตแบบสุ่มที่ได้รับอนุมัติ [SP 800-90Ar1] และให้ความรัดกุมขั้นต่ําในการรักษาความปลอดภัยที่ระบุในการแก้ไข SP 800-131A ครั้งล่าสุด ค่าเกลือลับจะเก็บไว้แยกต่างหากจากรหัสผ่านที่แฮช (เช่น ในอุปกรณ์พิเศษ เช่น โมดูลความปลอดภัยฮาร์ดแวร์) ไม่ได้ ไม่ได้ ได้ 916 ต่ำ
เวอร์ชัน 2.6.1 การตรวจสอบสิทธิ์ โปรแกรมตรวจสอบข้อมูลลับใน Search ยืนยันว่าใช้ข้อมูลลับใน Search ได้เพียงครั้งเดียว ไม่ได้ ไม่ได้ ได้ 308 สูง
เวอร์ชัน 2.7.2 การตรวจสอบสิทธิ์ ไม่ตรงกับผู้ยืนยันย่านความถี่ ยืนยันว่าผู้ยืนยันของแบนด์วิทหมดอายุจากคําขอการตรวจสอบสิทธิ์ของย่านความถี่ รหัส หรือโทเค็นหลังจากผ่านไป 10 นาที ไม่ได้ ไม่ได้ ได้ 287 สูง
เวอร์ชัน 2.7.3 การตรวจสอบสิทธิ์ ไม่ตรงกับผู้ยืนยันย่านความถี่ ยืนยันว่าคําขอ รหัส หรือโทเค็นสําหรับการตรวจสอบสิทธิ์ของผู้ยืนยันย่านความถี่ใช้งานได้เพียงครั้งเดียว และสําหรับคําขอการตรวจสอบสิทธิ์เดิมเท่านั้น ไม่ได้ ไม่ได้ ได้ 287 สูง
เวอร์ชัน 2.7.4 การตรวจสอบสิทธิ์ ไม่ตรงกับผู้ยืนยันย่านความถี่ ยืนยันว่าเครื่องมือตรวจสอบความถูกต้องและการตรวจสอบสิทธิ์จะไม่อัปเดตหากสื่อสารผ่านช่องอิสระที่ปลอดภัย ไม่ได้ ไม่ได้ ได้ 523 สื่อ
เวอร์ชัน 2.7.5 การตรวจสอบสิทธิ์ ไม่ตรงกับผู้ยืนยันย่านความถี่ ยืนยันว่าโปรแกรมตรวจสอบย่านความถี่ภายนอกมีแต่โค้ดการตรวจสอบสิทธิ์เวอร์ชันที่แฮชเท่านั้น ไม่ได้ ไม่ได้ ได้ 256 สูง
เวอร์ชัน 2.7.6 การตรวจสอบสิทธิ์ ไม่ตรงกับผู้ยืนยันย่านความถี่ ยืนยันว่ารหัสการตรวจสอบสิทธิ์เริ่มต้นสร้างขึ้นด้วยโปรแกรมสร้างตัวเลขสุ่มที่ปลอดภัยซึ่งมีเอนโทรปีอย่างน้อย 20 บิต (โดยปกติแล้วจะเป็นตัวเลขดิจิทัล 6 หลักที่เพียงพอ) ไม่ได้ ไม่ได้ ได้ 310 สูง
เวอร์ชัน 2.8.2 การตรวจสอบสิทธิ์ เครื่องมือยืนยันแบบครั้งเดียว ยืนยันว่าคีย์แบบสมมาตรที่ใช้เพื่อยืนยัน OTP ที่ส่งมีการป้องกันสูง เช่น โดยการใช้โมดูลความปลอดภัยฮาร์ดแวร์หรือพื้นที่เก็บคีย์ตามระบบปฏิบัติการที่ปลอดภัย ไม่ได้ ไม่ได้ ได้ 320 สูง
เวอร์ชัน 2.8.5 การตรวจสอบสิทธิ์ เครื่องมือยืนยันแบบครั้งเดียว ยืนยันว่ามีการใช้โทเค็น OTP แบบหลายปัจจัยที่อิงตามเวลาอีกครั้งในระยะเวลาที่มีผลแล้ว ระบบจะบันทึกและปฏิเสธการแจ้งเตือนที่รักษาความปลอดภัยซึ่งส่งไปยังเจ้าของอุปกรณ์ ไม่ได้ ไม่ได้ ได้ 287 สูง
เวอร์ชัน 2.8.6 การตรวจสอบสิทธิ์ เครื่องมือยืนยันแบบครั้งเดียว ยืนยันว่าสามารถเพิกถอนโปรแกรมสร้าง OTP แบบปัจจัยเดี่ยวทางกายภาพได้ในกรณีที่มีการโจรกรรมหรือสูญหายอื่นๆ ตรวจสอบว่าการเพิกถอนมีผลทันทีในเซสชันต่างๆ ที่เข้าสู่ระบบ ไม่ว่าจะ อยู่ในสถานที่ใดก็ตาม ไม่ได้ ไม่ได้ ได้ 613 สื่อ
เวอร์ชัน 2.9.1 การตรวจสอบสิทธิ์ เครื่องมือตรวจสอบการเข้ารหัสลับ ตรวจสอบว่าคีย์การเข้ารหัสที่ใช้ในการยืนยันได้รับการจัดเก็บไว้อย่างปลอดภัยและปกป้องไม่ให้มีการเปิดเผย เช่น การใช้ Trusted Platform Module (TPM) หรือ Hardware Security Module (HSM) หรือบริการระบบปฏิบัติการที่ใช้พื้นที่เก็บข้อมูลที่ปลอดภัยนี้ได้ ไม่ได้ ไม่ได้ ได้ 320 สูง
เวอร์ชัน 2.9.3 การตรวจสอบสิทธิ์ เครื่องมือตรวจสอบการเข้ารหัสลับ ยืนยันว่ามีการใช้อัลกอริทึมการเข้ารหัสลับที่ได้รับอนุมัติในการสร้าง ขยาย และการยืนยัน ไม่ได้ ไม่ได้ ได้ 327 สูง
เวอร์ชัน 2.10.1 การตรวจสอบสิทธิ์ การตรวจสอบสิทธิ์บริการ ยืนยันว่าข้อมูลลับภายในบริการไม่ได้ใช้ข้อมูลเข้าสู่ระบบที่ไม่เปลี่ยนแปลง เช่น รหัสผ่าน, คีย์ API หรือบัญชีที่แชร์ที่มีสิทธิ์พิเศษ ไม่ได้ ไม่ได้ ได้ 287 สูง
เวอร์ชัน 2.10.2 การตรวจสอบสิทธิ์ การตรวจสอบสิทธิ์บริการ ยืนยันว่าหากต้องใช้รหัสผ่านในการตรวจสอบสิทธิ์บริการ บัญชีบริการที่ใช้ไม่ใช่ข้อมูลเข้าสู่ระบบเริ่มต้น (เช่น รูท/รูท หรือผู้ดูแลระบบ/ผู้ดูแลระบบจะมีค่าเริ่มต้นในบางบริการระหว่างการติดตั้ง) ไม่ได้ ไม่ได้ ได้ 255 ต่ำ
เวอร์ชัน 2.10.3 การตรวจสอบสิทธิ์ การตรวจสอบสิทธิ์บริการ ตรวจสอบว่ารหัสผ่านจัดเก็บโดยมีการป้องกันอย่างเพียงพอเพื่อป้องกันการโจมตีสําหรับการกู้คืนแบบออฟไลน์ รวมถึงการเข้าถึงในระบบ ไม่ได้ ไม่ได้ ได้ 522 สื่อ
เวอร์ชัน 2.10.4 การตรวจสอบสิทธิ์ การตรวจสอบสิทธิ์บริการ ยืนยันรหัสผ่าน การผสานรวมกับฐานข้อมูลและระบบของบุคคลที่สาม เมล็ดพันธุ์และข้อมูลลับภายใน รวมถึงคีย์ API จะได้รับการจัดการอย่างปลอดภัยและไม่ได้รวมอยู่ในซอร์สโค้ดหรือจัดเก็บไว้ในที่เก็บซอร์สโค้ด พื้นที่เก็บข้อมูลนี้ควรต่อต้านการโจมตีแบบออฟไลน์ ขอแนะนําให้ใช้คีย์สโตร์ของซอฟต์แวร์ (L1), TPM ฮาร์ดแวร์ หรือ HSM (L3) ที่ปลอดภัยสําหรับพื้นที่เก็บข้อมูลรหัสผ่าน ไม่ได้ ไม่ได้ ได้ 798 สูง
เวอร์ชัน 3.2.3 การจัดการเซสชัน การเชื่อมโยงเซสชัน ยืนยันว่าแอปพลิเคชันจัดเก็บโทเค็นเซสชันในเบราว์เซอร์โดยใช้วิธีการที่ปลอดภัยเท่านั้น เช่น คุกกี้ที่มีการรักษาความปลอดภัยอย่างเหมาะสม (ดูส่วนที่ 3.4) หรือพื้นที่เก็บข้อมูลเซสชัน HTML 5 ได้ ได้ ไม่ได้ 539 สื่อ
เวอร์ชัน 3.3.1 การจัดการเซสชัน การสิ้นสุดเซสชัน ยืนยันว่าการออกจากระบบและการหมดอายุทําให้โทเค็นเซสชันไม่ทํางาน เพื่อที่ปุ่มย้อนกลับหรือบุคคลที่ต้องอาศัยดาวน์สตรีมจะไม่ทําให้เซสชันที่มีการตรวจสอบสิทธิ์กลับมาทํางานอีกครั้ง ซึ่งรวมถึงฝ่ายที่เกี่ยวข้อง ([C6](https://owasp.org/www-project-proactive-controls/#div-numbering)) ไม่ได้ ไม่ได้ ได้ 613 สื่อ
เวอร์ชัน 3.3.3 การจัดการเซสชัน การสิ้นสุดเซสชัน ตรวจสอบว่าแอปพลิเคชันมีตัวเลือกในการยกเลิกเซสชันอื่นๆ ที่ใช้งานอยู่ทั้งหมดหลังจากเปลี่ยนรหัสผ่าน (รวมถึงเปลี่ยนผ่านการรีเซ็ตรหัสผ่าน/กู้คืน) สําเร็จ และการดําเนินการนี้มีผลกับแอปพลิเคชัน การเข้าสู่ระบบแบบรวมศูนย์ (หากมี) และผู้ที่พึ่งพาแอป ได้ ได้ ไม่ได้ 613 สื่อ
เวอร์ชัน 3.3.4 การจัดการเซสชัน การสิ้นสุดเซสชัน ตรวจสอบว่าผู้ใช้ดูและ (โดยป้อนข้อมูลเข้าสู่ระบบซ้ําได้) ออกจากระบบเซสชันและอุปกรณ์ที่ใช้งานอยู่หรือทั้งหมด ไม่ได้ ไม่ได้ ได้ 613 สื่อ
เวอร์ชัน 3.4.1 การจัดการเซสชัน การจัดการเซสชันที่ใช้คุกกี้ ยืนยันว่าโทเค็นของเซสชันที่ใช้คุกกี้มีการตั้งค่าแอตทริบิวต์ 'Secure' ([C6](https://owasp.org/www-project-proactive-controls/#div-numbering)) ได้ ได้ ไม่ได้ 614 สื่อ
เวอร์ชัน 3.4.2 การจัดการเซสชัน การจัดการเซสชันที่ใช้คุกกี้ ยืนยันว่าโทเค็นของเซสชันที่ใช้คุกกี้มีการตั้งค่าแอตทริบิวต์ 'HttpOnly' ([C6](https://owasp.org/www-project-proactive-controls/#div-numbering)) ได้ ได้ ไม่ได้ 1004 สื่อ
เวอร์ชัน 3.4.3 การจัดการเซสชัน การจัดการเซสชันที่ใช้คุกกี้ ยืนยันว่าโทเค็นเซสชันที่ใช้คุกกี้ใช้แอตทริบิวต์ 'SameSite' เพื่อจํากัดความเสี่ยงต่อการโจมตีผ่านการปลอมแปลงคําขอแบบข้ามเว็บไซต์ ([C6](https://owasp.org/www-project-proactive-controls/#div-numbering)) ได้ ได้ ไม่ได้ 1275 สื่อ
เวอร์ชัน 3.5.1 การจัดการเซสชัน การจัดการเซสชันตามโทเค็น ยืนยันว่าแอปพลิเคชันช่วยให้ผู้ใช้เพิกถอนโทเค็น OAuth ที่สร้างความสัมพันธ์ที่เชื่อถือได้กับแอปพลิเคชันที่ลิงก์ได้ ได้ ได้ ไม่ได้ 290 สื่อ
เวอร์ชัน 3.5.2 การจัดการเซสชัน การจัดการเซสชันตามโทเค็น ยืนยันว่าแอปพลิเคชันใช้โทเค็นเซสชันแทนข้อมูลลับและคีย์ API แบบคงที่ ยกเว้นการติดตั้งใช้งานเดิม ไม่ได้ ไม่ได้ ได้ 798 สูง
เวอร์ชัน 3.5.3 การจัดการเซสชัน การจัดการเซสชันตามโทเค็น ยืนยันว่าโทเค็นเซสชันแบบไม่เก็บสถานะใช้ลายเซ็นดิจิทัล การเข้ารหัส และมาตรการป้องกันอื่นๆ เพื่อป้องกันการปลอมแปลง การซ่อน การเล่นซ้ํา การเข้ารหัสที่ไม่มีข้อมูล และการโจมตีทดแทนที่สําคัญ ได้ ได้ ไม่ได้ 345 สื่อ
เวอร์ชัน 3.7.1 การจัดการเซสชัน การป้องกันการใช้ประโยชน์จากการจัดการเซสชัน ยืนยันว่าแอปพลิเคชันมีเซสชันการเข้าสู่ระบบที่ถูกต้องและครบถ้วน หรือต้องตรวจสอบสิทธิ์ซ้ําหรือยืนยันซ้ําก่อนที่จะอนุญาตการทําธุรกรรมที่มีความละเอียดอ่อนหรือการแก้ไขบัญชี ได้ ได้ ไม่ได้ 306 สูง
เวอร์ชัน 4.1.1 การควบคุมการเข้าถึง การออกแบบการควบคุมการเข้าถึงทั่วไป ยืนยันว่าแอปพลิเคชันบังคับใช้กฎการควบคุมการเข้าถึงในเลเยอร์บริการที่เชื่อถือได้ โดยเฉพาะหากมีการควบคุมการเข้าถึงฝั่งไคลเอ็นต์และอาจถูกข้ามได้ ไม่ได้ ไม่ได้ ได้ 602 สื่อ
เวอร์ชัน 4.1.2 การควบคุมการเข้าถึง การออกแบบการควบคุมการเข้าถึงทั่วไป ตรวจสอบว่าแอตทริบิวต์และข้อมูลผู้ใช้และข้อมูลผู้ใช้ทั้งหมดที่การควบคุมการเข้าถึงใช้นั้นควบคุมโดยผู้ใช้ปลายทางไม่ได้ เว้นแต่จะได้รับอนุญาตเป็นการเฉพาะ ไม่ได้ ไม่ได้ ได้ 639 สูง
เวอร์ชัน 4.1.3 การควบคุมการเข้าถึง การออกแบบการควบคุมการเข้าถึงทั่วไป ยืนยันว่าหลักการของสิทธิ์ขั้นต่ําที่มีอยู่คือ ผู้ใช้ควรมีสิทธิ์เข้าถึงฟังก์ชัน ไฟล์ข้อมูล URL ตัวควบคุม บริการ และทรัพยากรอื่นๆ ที่ให้สิทธิ์เฉพาะเท่านั้น ซึ่งหมายถึงการป้องกันการปลอมแปลงและระดับความสูงของสิทธิ์ที่มี ([C7](https://owasp.org/www-project-proactive-controls/#div-numbering)) ไม่ได้ ไม่ได้ ได้ 285 สูง
เวอร์ชัน 4.1.5 การควบคุมการเข้าถึง การออกแบบการควบคุมการเข้าถึงทั่วไป ยืนยันว่าการควบคุมการเข้าถึงไม่สําเร็จอย่างปลอดภัยรวมถึงกรณีที่มีข้อยกเว้น ([C10](https://owasp.org/www-project-proactive-controls/#div-numbering)) ไม่ได้ ไม่ได้ ได้ 285 สูง
เวอร์ชัน 4.2.2 การควบคุมการเข้าถึง การควบคุมการเข้าถึงระดับการดําเนินการ ยืนยันว่าแอปพลิเคชันหรือเฟรมเวิร์กบังคับใช้กลไกการต่อต้าน CSRF ที่แข็งแกร่งเพื่อปกป้อง ฟังก์ชันการทํางานที่มีการตรวจสอบสิทธิ์ ตลอดจนการป้องกันการทํางานอัตโนมัติหรือ CSRF ที่มีประสิทธิภาพจะช่วยปกป้อง ฟังก์ชันที่ไม่ผ่านการตรวจสอบสิทธิ์ ได้ ได้ ไม่ได้ 352 สูง
เวอร์ชัน 4.3.1 การควบคุมการเข้าถึง ข้อควรพิจารณาอื่นๆ เกี่ยวกับการควบคุมการเข้าถึง ยืนยันว่าอินเทอร์เฟซผู้ดูแลระบบใช้การตรวจสอบสิทธิ์แบบหลายปัจจัยที่เหมาะสมเพื่อป้องกันการใช้งานโดยไม่ได้รับอนุญาต ได้ ได้ ไม่ได้ 419 สื่อ
เวอร์ชัน 4.3.2 การควบคุมการเข้าถึง ข้อควรพิจารณาอื่นๆ เกี่ยวกับการควบคุมการเข้าถึง ตรวจสอบว่าปิดใช้การเรียกดูไดเรกทอรีอยู่ เว้นแต่ว่าตั้งใจเอาไว้แล้ว นอกจากนี้ แอปพลิเคชันไม่ควรอนุญาตให้ค้นหาหรือเปิดเผยข้อมูลเมตาของไฟล์หรือไดเรกทอรี เช่น Thumbs.db, .DS_Store, .git หรือ .svn folders ไม่ได้ ไม่ได้ ได้ 548 สื่อ
เวอร์ชัน 4.3.3 การควบคุมการเข้าถึง ข้อควรพิจารณาอื่นๆ เกี่ยวกับการควบคุมการเข้าถึง ยืนยันว่าแอปพลิเคชันมีสิทธิ์เพิ่มเติม (เช่น การอัปเกรดทีละขั้นตอนหรือการตรวจสอบสิทธิ์แบบปรับอัตโนมัติ) สําหรับระบบที่มีมูลค่าต่ํา และ / หรือการแยกหน้าที่สําหรับแอปพลิเคชันที่มีมูลค่าสูงเพื่อบังคับใช้การควบคุมการฉ้อโกงเพื่อป้องกันการประพฤติมิชอบตามความเสี่ยงของแอปพลิเคชันและการฉ้อโกงที่ผ่านมา ได้ ได้ ไม่ได้ 732 สูง
เวอร์ชัน 5.1.1 การตรวจสอบ การทําความสะอาด และการเข้ารหัส การตรวจสอบความถูกต้องของอินพุต ยืนยันว่าแอปพลิเคชันมีการป้องกันการโจมตีมลพิษจากพารามิเตอร์ HTTP โดยเฉพาะอย่างยิ่งหากเฟรมเวิร์กแอปพลิเคชันไม่ได้แยกแหล่งที่มาของพารามิเตอร์คําขอ (GET, POST, คุกกี้, ส่วนหัว หรือตัวแปรสภาพแวดล้อม) ได้ ได้ ไม่ได้ 235 สื่อ
เวอร์ชัน 5.1.2 การตรวจสอบ การทําความสะอาด และการเข้ารหัส การตรวจสอบความถูกต้องของอินพุต ตรวจสอบว่าเฟรมเวิร์กป้องกันการโจมตีด้วยการกําหนดพารามิเตอร์จํานวนมาก หรือแอปพลิเคชันมีมาตรการป้องกันเพื่อป้องกันการกําหนดพารามิเตอร์ที่ไม่ปลอดภัย เช่น การทําเครื่องหมายช่องเป็นแบบส่วนตัวหรือคล้ายกัน ([C5](https://owasp.org/www-project-proactive-controls/#div-numbering)) ไม่ได้ ไม่ได้ ได้ 915 สื่อ
เวอร์ชัน 5.1.3 การตรวจสอบ การทําความสะอาด และการเข้ารหัส การตรวจสอบความถูกต้องของอินพุต ยืนยันว่าอินพุตทั้งหมด (ช่องแบบฟอร์ม HTML, คําขอ REST, พารามิเตอร์ของ URL, ส่วนหัว HTTP, คุกกี้, ไฟล์แบบกลุ่ม, ฟีด RSS ฯลฯ) ได้รับการตรวจสอบความถูกต้องโดยใช้การตรวจสอบเชิงบวก (อนุญาตรายการ) ([C5](https://owasp.org/www-project-proactive-controls/#div-numbering)) ไม่ได้ ไม่ได้ ได้ 20 สูง
เวอร์ชัน 5.1.4 การตรวจสอบ การทําความสะอาด และการเข้ารหัส การตรวจสอบความถูกต้องของอินพุต ตรวจสอบว่าข้อมูลที่มีโครงสร้างพิมพ์และตรวจสอบความถูกต้องของสคีมาที่ระบุไว้ รวมถึงอักขระที่อนุญาต ความยาว และรูปแบบ (เช่น หมายเลขบัตรเครดิต อีเมล หมายเลขโทรศัพท์ หรือการตรวจสอบความถูกต้องว่าช่องที่เกี่ยวข้อง 2 ช่องนั้นเหมาะสมหรือไม่ เช่น ตรวจสอบว่าเขตรหัสไปรษณีย์และรหัสไปรษณีย์ตรงกัน) ([C5](https://owasp.org/www-project-proactive-controls/#div-numbering)) ไม่ได้ ไม่ได้ ได้ 20 สูง
เวอร์ชัน 5.1.5 การตรวจสอบ การทําความสะอาด และการเข้ารหัส การตรวจสอบความถูกต้องของอินพุต ตรวจสอบว่า URL เปลี่ยนเส้นทางและส่งต่อจะอนุญาตเฉพาะปลายทางที่ปรากฏในรายการอนุญาต หรือแสดงคําเตือนเมื่อเปลี่ยนเส้นทางไปยังเนื้อหาที่ไม่น่าเชื่อถือ ไม่ได้ ไม่ได้ ได้ 601 ต่ำ
เวอร์ชัน 5.2.3 การตรวจสอบ การทําความสะอาด และการเข้ารหัส การทําความสะอาดและแซนด์บ็อกซ์ ยืนยันว่าแอปพลิเคชันล้างข้อมูลผู้ใช้ก่อนส่งไปยังระบบอีเมลเพื่อป้องกันการแทรก SMTP หรือ IMAP ได้ ได้ ไม่ได้ 147 สื่อ
เวอร์ชัน 5.2.4 การตรวจสอบ การทําความสะอาด และการเข้ารหัส การทําความสะอาดและแซนด์บ็อกซ์ ยืนยันว่าแอปพลิเคชันหลีกเลี่ยงการใช้ eval() หรือฟีเจอร์การดําเนินการอื่นๆ แบบไดนามิกของโค้ด ในกรณีที่ไม่มีทางเลือก ต้องป้อนข้อมูลที่ผู้ใช้ใส่เข้าไปเพื่อล้างไฟล์หรือใส่แซนด์บ็อกซ์ก่อนดําเนินการ ได้ ได้ ไม่ได้ 95 สื่อ
เวอร์ชัน 5.2.5 การตรวจสอบ การทําความสะอาด และการเข้ารหัส การทําความสะอาดและแซนด์บ็อกซ์ ยืนยันว่าแอปพลิเคชันช่วยป้องกันการโจมตีด้วยการแทรกเทมเพลตด้วยการตรวจสอบว่าอินพุตของผู้ใช้ที่รวมอยู่ในไฟล์มีความถูกต้องหรือแซนด์บ็อกซ์ ได้ ได้ ไม่ได้ 94 สื่อ
เวอร์ชัน 5.2.6 การตรวจสอบ การทําความสะอาด และการเข้ารหัส การทําความสะอาดและแซนด์บ็อกซ์ ยืนยันว่าแอปพลิเคชันป้องกันการโจมตี SSRF ด้วยการตรวจสอบหรือล้างข้อมูลข้อมูลเมตาหรือไฟล์ HTTP ที่ไม่น่าเชื่อถือ เช่น ชื่อไฟล์และช่องป้อนข้อมูล URL และใช้รายการโปรโตคอล โดเมน เส้นทาง และพอร์ต ได้ ได้ ไม่ได้ 918 สื่อ
เวอร์ชัน 5.2.7 การตรวจสอบ การทําความสะอาด และการเข้ารหัส การทําความสะอาดและแซนด์บ็อกซ์ ยืนยันว่าแอปพลิเคชันทําความสะอาด ปิดใช้ หรือแซนด์บ็อกซ์เนื้อหาสคริปต์กราฟิกเวกเตอร์ที่ปรับขนาดได้ (SVG) ที่ผู้ใช้เป็นผู้ระบุ โดยเฉพาะเมื่อเกี่ยวข้องกับ XSS ที่เป็นผลมาจากสคริปต์ในหน้าและ internationalObject ได้ ได้ ไม่ได้ 159 สื่อ
เวอร์ชัน 5.3.1 การตรวจสอบ การทําความสะอาด และการเข้ารหัส การป้องกันและการเข้ารหัสการแทรกเอาต์พุต ตรวจสอบว่าการเข้ารหัสเอาต์พุตเกี่ยวข้องกับล่ามและบริบทที่จําเป็น เช่น ใช้โปรแกรมเปลี่ยนไฟล์สําหรับค่า HTML, แอตทริบิวต์ HTML, JavaScript, พารามิเตอร์ของ URL, ส่วนหัว HTTP, SMTP และอื่นๆ โดยเฉพาะในบริบท โดยเฉพาะจากอินพุตที่ไม่น่าเชื่อถือ (เช่น ชื่อที่มี Unicode หรืออะพอสทรอฟรี เช่น ねこ หรือ O'Hara) ([C4](https://owasp.org/www-project-proactive-controls/#div-numbering)) ไม่ได้ ไม่ได้ ได้ 116 สูง
เวอร์ชัน 5.3.2 การตรวจสอบ การทําความสะอาด และการเข้ารหัส การป้องกันและการเข้ารหัสการแทรกเอาต์พุต ตรวจสอบว่าการเข้ารหัสเอาต์พุตรักษาชุดอักขระและภาษาที่เลือกของผู้ใช้ ดังนั้นอักขระ Unicode ใดๆ ที่ถูกต้องและจัดการอย่างปลอดภัย ([C4](https://owasp.org/www-project-proactive-controls/#div-numbering)) ไม่ได้ ไม่ได้ ได้ 176 สื่อ
เวอร์ชัน 5.3.3 การตรวจสอบ การทําความสะอาด และการเข้ารหัส การป้องกันและการเข้ารหัสการแทรกเอาต์พุต ยืนยันว่ามีการ Escape เอาต์พุตแบบ Context-Aware ทั้งแบบอัตโนมัติและแย่ที่สุดด้วยตนเอง เพื่อป้องกันการทํา XSS แบบแสดงผลแล้ว จัดเก็บแล้ว และ DOM ([C4](https://owasp.org/www-project-proactive-controls/#div-numbering)) ได้ ได้ ไม่ได้ 79 สูง
เวอร์ชัน 5.3.4 การตรวจสอบ การทําความสะอาด และการเข้ารหัส การป้องกันและการเข้ารหัสการแทรกเอาต์พุต ยืนยันว่าการค้นหาข้อมูลหรือฐานข้อมูล (เช่น SQL, HQL, ORM, NoSQL) ใช้การค้นหาแบบมีพารามิเตอร์, ORM, เฟรมเวิร์กเอนทิตี หรือได้รับการปกป้องจากการโจมตีด้วยการแทรกฐานข้อมูล ([C3](https://owasp.org/www-project-proactive-controls/#div-numbering)) ไม่ได้ ไม่ได้ ได้ 89 สูง
เวอร์ชัน 5.3.6 การตรวจสอบ การทําความสะอาด และการเข้ารหัส การป้องกันและการเข้ารหัสการแทรกเอาต์พุต ยืนยันว่าแอปพลิเคชันป้องกันการโจมตีการแทรก JSON, การโจมตีแบบ JSON การประเมิน และการประเมินนิพจน์ของ JavaScript ([C4](https://owasp.org/www-project-proactive-controls/#div-numbering)) ได้ ได้ ไม่ได้ 830 สื่อ
เวอร์ชัน 5.3.7 การตรวจสอบ การทําความสะอาด และการเข้ารหัส การป้องกันและการเข้ารหัสการแทรกเอาต์พุต ยืนยันว่าแอปพลิเคชันป้องกันช่องโหว่ในการแทรก LDAP หรือการควบคุมความปลอดภัยที่เจาะจงเพื่อป้องกันการใช้การแทรก LDAP ([C4](https://owasp.org/www-project-proactive-controls/#div-numbering)) ได้ ได้ ไม่ได้ 90 สื่อ
เวอร์ชัน 5.3.8 การตรวจสอบ การทําความสะอาด และการเข้ารหัส การป้องกันและการเข้ารหัสการแทรกเอาต์พุต ยืนยันว่าแอปพลิเคชันป้องกันการแทรกคําสั่งของระบบปฏิบัติการ และการเรียกใช้ระบบปฏิบัติการใช้การค้นหาระบบปฏิบัติการที่มีพารามิเตอร์หรือใช้การเข้ารหัสเอาต์พุตของบรรทัดคําสั่งตามบริบท ([C4](https://owasp.org/www-project-proactive-controls/#div-numbering)) ได้ ได้ ไม่ได้ 78 สูง
เวอร์ชัน 5.3.9 การตรวจสอบ การทําความสะอาด และการเข้ารหัส การป้องกันและการเข้ารหัสการแทรกเอาต์พุต ยืนยันว่าแอปพลิเคชันป้องกันการโจมตีการรวมไฟล์ในเครื่อง (LFI) หรือการรวมไฟล์ระยะไกล (RFI) ได้ ได้ ไม่ได้ 829 สื่อ
เวอร์ชัน 5.3.10 การตรวจสอบ การทําความสะอาด และการเข้ารหัส การป้องกันและการเข้ารหัสการแทรกเอาต์พุต ยืนยันว่าแอปพลิเคชันป้องกันการโจมตีแบบ XPath หรือการแทรก XML ([C4](https://owasp.org/www-project-proactive-controls/#div-numbering)) ได้ ได้ ไม่ได้ 643 สูง
เวอร์ชัน 5.5.1 การตรวจสอบ การทําความสะอาด และการเข้ารหัส ป้องกันการตัดกันการทําลาย ยืนยันว่าออบเจ็กต์ที่ซีเรียลใช้การตรวจสอบความสมบูรณ์หรือเข้ารหัสไว้เพื่อป้องกันการสร้างออบเจ็กต์ที่เป็นอันตรายหรือการปลอมแปลงข้อมูล ([C5](https://owasp.org/www-project-proactive-controls/#div-numbering)) ไม่ได้ ไม่ได้ ได้ 502 สื่อ
เวอร์ชัน 5.5.2 การตรวจสอบ การทําความสะอาด และการเข้ารหัส ป้องกันการตัดกันการทําลาย ยืนยันว่าแอปพลิเคชันจํากัดโปรแกรมแยกวิเคราะห์ XML อย่างถูกต้องเพื่อใช้เพียงการกําหนดค่าที่เข้มงวดที่สุดเท่าที่จะเป็นไปได้ และปิดใช้ฟีเจอร์ที่ไม่ปลอดภัย เช่น การแก้ไขเอนทิตีภายนอกเพื่อป้องกันการโจมตี XML eXternal Entity (XXE) ได้ ได้ ไม่ได้ 611 สื่อ
เวอร์ชัน 6.1.1 วิทยาการเข้ารหัสลับที่จัดเก็บไว้ การแยกประเภทข้อมูล ตรวจสอบว่าข้อมูลส่วนตัวที่มีการควบคุมได้รับการจัดเก็บเมื่อมีการเข้ารหัส เช่น ข้อมูลส่วนบุคคลที่ระบุตัวบุคคลนั้นได้ (PII) ข้อมูลส่วนบุคคลที่ละเอียดอ่อน หรือข้อมูลที่ประเมินไว้ว่าอยู่ภายใต้ GDPR ของ EU ไม่ได้ ไม่ได้ ได้ 311 สูง
เวอร์ชัน 6.1.2 วิทยาการเข้ารหัสลับที่จัดเก็บไว้ การแยกประเภทข้อมูล ตรวจสอบว่าข้อมูลสุขภาพที่มีการควบคุมได้รับการจัดเก็บขณะที่ไม่ได้เข้ารหัส เช่น เวชระเบียน รายละเอียดอุปกรณ์ทางการแพทย์ หรือระเบียนการวิจัยแบบไม่ระบุชื่อ ไม่ได้ ไม่ได้ ได้ 311 สูง
เวอร์ชัน 6.1.3 วิทยาการเข้ารหัสลับที่จัดเก็บไว้ การแยกประเภทข้อมูล ยืนยันว่าได้จัดเก็บข้อมูลทางการเงินที่มีการควบคุมไว้ขณะที่จัดเก็บไว้ เช่น บัญชีการเงิน ค่าเริ่มต้น หรือประวัติเครดิต บันทึกภาษี ประวัติการชําระเงิน ผู้รับประโยชน์ หรือบันทึกทางการตลาดหรือการวิจัยที่ลบข้อมูลระบุตัวบุคคล ไม่ได้ ไม่ได้ ได้ 311 สูง
เวอร์ชัน 6.2.1 วิทยาการเข้ารหัสลับที่จัดเก็บไว้ อัลกอริทึม ยืนยันว่าโมดูลการเข้ารหัสลับทั้งหมดล้มเหลวอย่างปลอดภัย และข้อผิดพลาดจะได้รับการจัดการโดยไม่เปิดใช้การโจมตี Pระยะห่างของ Oracle ไม่ได้ ไม่ได้ ได้ 310 สูง
เวอร์ชัน 6.2.2 วิทยาการเข้ารหัสลับที่จัดเก็บไว้ อัลกอริทึม ยืนยันว่ามีการใช้อัลกอริทึม โหมด และไลบรารีที่พิสูจน์แล้วว่าได้รับการรับรองในอุตสาหกรรมหรือของรัฐบาล แทนวิทยาการเข้ารหัสลับแบบกําหนดเอง ([C8](https://owasp.org/www-project-proactive-controls/#div-numbering)) ไม่ได้ ไม่ได้ ได้ 327 สูง
เวอร์ชัน 6.2.3 วิทยาการเข้ารหัสลับที่จัดเก็บไว้ อัลกอริทึม ยืนยันว่าได้กําหนดค่าเวกเตอร์การเริ่มต้นการเข้ารหัส การกําหนดค่าการเข้ารหัส และโหมดบล็อกอย่างปลอดภัยโดยใช้คําแนะนําล่าสุด ไม่ได้ ไม่ได้ ได้ 326 สื่อ
เวอร์ชัน 6.2.4 วิทยาการเข้ารหัสลับที่จัดเก็บไว้ อัลกอริทึม ตรวจสอบว่าอัลกอริทึมแบบสุ่ม อัลกอริทึมการเข้ารหัสหรือการแฮช ความยาวคีย์ รอบ การเข้ารหัส หรือโหมดต่างๆ สามารถกําหนดค่า อัปเกรด หรือสลับได้ทุกเมื่อเพื่อป้องกันตัวแบ่งการเข้ารหัส ([C8](https://owasp.org/www-project-proactive-controls/#div-numbering)) ไม่ได้ ไม่ได้ ได้ 326 สื่อ
เวอร์ชัน 6.2.5 วิทยาการเข้ารหัสลับที่จัดเก็บไว้ อัลกอริทึม ยืนยันว่าไม่มีการใช้โหมดบล็อกที่ไม่ปลอดภัย (เช่น ECB), โหมดระยะห่างจากขอบ (เช่น PKCS#1 v1.5, ฯลฯ) การเข้ารหัสที่มีบล็อกขนาดเล็ก (เช่น Triple-DES, Blowfish ฯลฯ) และอัลกอริทึมการแฮชที่ไม่รัดกุม (เช่น MD5, SHA1 ฯลฯ) จะเข้ากันไม่ได้หากจําเป็นต้องใช้สําหรับย้อนหลัง ไม่ได้ ไม่ได้ ได้ 326 สื่อ
เวอร์ชัน 6.2.6 วิทยาการเข้ารหัสลับที่จัดเก็บไว้ อัลกอริทึม ยืนยันว่าต้องไม่ใช้ nonces, เวกเตอร์เริ่มต้น และหมายเลขการใช้งานเดี่ยวอื่นๆ มากกว่า 1 ครั้งด้วยคีย์การเข้ารหัสที่ระบุ วิธีการสร้างต้องเหมาะสําหรับอัลกอริทึมที่ใช้ ไม่ได้ ไม่ได้ ได้ 326 สื่อ
เวอร์ชัน 6.2.7 วิทยาการเข้ารหัสลับที่จัดเก็บไว้ อัลกอริทึม ยืนยันว่าข้อมูลที่เข้ารหัสได้รับการตรวจสอบสิทธิ์ผ่านลายเซ็น โหมดการเข้ารหัสที่ตรวจสอบสิทธิ์ หรือ HMAC เพื่อให้มั่นใจว่าข้อความที่ไม่ได้รับอนุญาตจะไม่มีการเปลี่ยนแปลงโดยบุคคลที่ไม่ได้รับอนุญาต ไม่ได้ ไม่ได้ ได้ 326 สื่อ
เวอร์ชัน 6.2.8 วิทยาการเข้ารหัสลับที่จัดเก็บไว้ อัลกอริทึม ตรวจสอบว่าการดําเนินการเข้ารหัสทั้งหมดเป็นเวลาคงที่ โดยไม่มี 'วงจรสั้น&#39 ในการเปรียบเทียบ คํานวณ หรือแสดงผล เพื่อป้องกันไม่ให้ข้อมูลรั่วไหล ไม่ได้ ไม่ได้ ได้ 385 สื่อ
เวอร์ชัน 6.3.1 วิทยาการเข้ารหัสลับที่จัดเก็บไว้ ค่าแบบสุ่ม ยืนยันว่าตัวเลขแบบสุ่ม ชื่อไฟล์แบบสุ่ม, GUID แบบสุ่ม และสตริงแบบสุ่มใดๆ สร้างขึ้นโดยใช้โมดูลการเข้ารหัสลับที่เข้ารหัสที่ได้รับอนุมัติและเข้ารหัส เข้ารหัสเมื่อค่าแบบสุ่มเหล่านี้มีเจตนาที่ผู้โจมตีจะคาดเดาไม่ได้ ไม่ได้ ไม่ได้ ได้ 338 สื่อ
เวอร์ชัน 6.3.2 วิทยาการเข้ารหัสลับที่จัดเก็บไว้ ค่าแบบสุ่ม ยืนยันว่ามีการสร้าง GUID แบบสุ่มโดยใช้อัลกอริทึม GUID v4 และเครื่องมือสร้างตัวเลขแบบสุ่มแบบสุ่ม (CSPRNG) GUID ที่สร้างขึ้นโดยใช้โปรแกรมสร้างตัวเลขสุ่มอื่นๆ อาจคาดการณ์ได้ ไม่ได้ ไม่ได้ ได้ 338 สื่อ
เวอร์ชัน 6.3.3 วิทยาการเข้ารหัสลับที่จัดเก็บไว้ ค่าแบบสุ่ม ยืนยันว่ามีการสร้างตัวเลขแบบสุ่มพร้อมเอนโทรปีอย่างเหมาะสม แม้ว่าแอปพลิเคชันจะมีภาระงานมากเกินไปหรือแอปพลิเคชันนั้นลดระดับอย่างค่อยเป็นค่อยไปในสถานการณ์ดังกล่าว ได้ ได้ ไม่ได้ 338 สื่อ
เวอร์ชัน 6.4.2 วิทยาการเข้ารหัสลับที่จัดเก็บไว้ การจัดการข้อมูลลับ ตรวจสอบว่าเนื้อหาสําคัญไม่ได้เปิดเผยต่อแอปพลิเคชัน แต่จะใช้โมดูลความปลอดภัยแยกต่างหาก เช่น ห้องนิรภัยในห้องนิรภัยสําหรับการเข้ารหัสลับ ([C8](https://owasp.org/www-project-proactive-controls/#div-numbering)) ได้ ได้ ไม่ได้ 320 สูง
เวอร์ชัน 7.1.1 การจัดการข้อผิดพลาดและการบันทึก บันทึกเนื้อหา ยืนยันว่าแอปพลิเคชันไม่ได้บันทึกข้อมูลเข้าสู่ระบบหรือรายละเอียดการชําระเงิน คุณควรจัดเก็บโทเค็นเซสชันไว้ในบันทึกในรูปแบบที่แฮชและแฮชไม่ได้เท่านั้น ([C9, C10](https://owasp.org/www-project-proactive-controls/#div-numbering)) ได้ ได้ ไม่ได้ 532 สื่อ
เวอร์ชัน 7.1.2 การจัดการข้อผิดพลาดและการบันทึก บันทึกเนื้อหา ตรวจสอบว่าแอปพลิเคชันไม่ได้บันทึกข้อมูลที่ละเอียดอ่อนอื่นๆ ตามที่กําหนดไว้ภายใต้กฎหมายความเป็นส่วนตัวในท้องถิ่นหรือนโยบายความปลอดภัยที่เกี่ยวข้อง ([C9](https://owasp.org/www-project-proactive-controls/#div-numbering)) ได้ ได้ ไม่ได้ 532 สื่อ
เวอร์ชัน 7.1.3 การจัดการข้อผิดพลาดและการบันทึก บันทึกเนื้อหา ยืนยันว่าแอปพลิเคชันบันทึกเหตุการณ์ที่เกี่ยวข้องกับความปลอดภัย ซึ่งรวมถึงเหตุการณ์การตรวจสอบสิทธิ์ที่สําเร็จและไม่สําเร็จ ความล้มเหลวในการควบคุมการเข้าถึง ความล้มเหลวในการเลิกใช้งาน และความล้มเหลวในการตรวจสอบอินพุต ([C5, C7](https://owasp.org/www-project-proactive-controls/#div-numbering)) ได้ ได้ ไม่ได้ 778 สื่อ
เวอร์ชัน 7.3.1 การจัดการข้อผิดพลาดและการบันทึก การป้องกันบันทึก ตรวจสอบว่าองค์ประกอบการบันทึกทั้งหมดเข้ารหัสข้อมูลอย่างเหมาะสมเพื่อป้องกันไม่ให้มีการแทรกบันทึก ([C9](https://owasp.org/www-project-proactive-controls/#div-numbering)) ได้ ได้ ไม่ได้ 117 สื่อ
เวอร์ชัน 7.3.3 การจัดการข้อผิดพลาดและการบันทึก การป้องกันบันทึก ตรวจสอบว่าบันทึกความปลอดภัยได้รับการปกป้องจากการเข้าถึงและการแก้ไขโดยไม่ได้รับอนุญาต ([C9](https://owasp.org/www-project-proactive-controls/#div-numbering)) ไม่ได้ ไม่ได้ ได้ 200 สูง
เวอร์ชัน 8.1.1 การคุ้มครองข้อมูล การปกป้องข้อมูลทั่วไป ยืนยันว่าแอปพลิเคชันปกป้องข้อมูลที่ละเอียดอ่อนไม่ให้แคชในคอมโพเนนต์ของเซิร์ฟเวอร์ เช่น ตัวจัดสรรภาระงานและแคชของแอปพลิเคชัน ได้ ได้ ไม่ได้ 524 สื่อ
เวอร์ชัน 8.1.3 การคุ้มครองข้อมูล การปกป้องข้อมูลทั่วไป ตรวจสอบว่าแอปพลิเคชันจะลดจํานวนพารามิเตอร์ในคําขอ เช่น ช่องที่ซ่อนอยู่ ตัวแปร Ajax คุกกี้ และค่าส่วนหัว ได้ ได้ ไม่ได้ 233 สื่อ
เวอร์ชัน 8.1.6 การคุ้มครองข้อมูล การปกป้องข้อมูลทั่วไป ตรวจสอบว่าข้อมูลสํารองได้รับการจัดเก็บอย่างปลอดภัยเพื่อป้องกันไม่ให้ข้อมูลถูกขโมยหรือเสียหาย ไม่ได้ ไม่ได้ ได้ 19 สูง
เวอร์ชัน 8.2.1 การคุ้มครองข้อมูล การปกป้องข้อมูลฝั่งไคลเอ็นต์ ยืนยันว่าแอปพลิเคชันได้ตั้งส่วนหัวการแคชที่เพียงพอเพียงพอ เพื่อไม่ให้มีการแคชข้อมูลที่ละเอียดอ่อนในเบราว์เซอร์สมัยใหม่ ได้ ได้ ไม่ได้ 525 สื่อ
เวอร์ชัน 8.2.2 การคุ้มครองข้อมูล การปกป้องข้อมูลฝั่งไคลเอ็นต์ ยืนยันว่าข้อมูลที่จัดเก็บไว้ในพื้นที่เก็บข้อมูลของเบราว์เซอร์ (เช่น localStorage, sessionStorage, IndexedDB หรือคุกกี้) ไม่มีข้อมูลที่ละเอียดอ่อน ได้ ได้ ไม่ได้ 922 สื่อ
เวอร์ชัน 8.3.1 การคุ้มครองข้อมูล ข้อมูลส่วนตัวที่ละเอียดอ่อน ยืนยันว่ามีการส่งข้อมูลที่ละเอียดอ่อนไปยังเซิร์ฟเวอร์ในเนื้อหาหรือส่วนหัวข้อความ HTTP และพารามิเตอร์สตริงการค้นหาจากกริยา HTTP ใดๆ ไม่มีข้อมูลที่ละเอียดอ่อน ไม่ได้ ไม่ได้ ได้ 319 สูง
เวอร์ชัน 8.3.2 การคุ้มครองข้อมูล ข้อมูลส่วนตัวที่ละเอียดอ่อน ยืนยันว่าผู้ใช้มีวิธีส่งออกหรือส่งออกข้อมูลตามคําขอ ไม่ได้ ไม่ได้ ได้ 212 สื่อ
เวอร์ชัน 8.3.3 การคุ้มครองข้อมูล ข้อมูลส่วนตัวที่ละเอียดอ่อน ตรวจสอบว่ามีการระบุภาษาที่ชัดเจนเกี่ยวกับการรวบรวมและการใช้ข้อมูลส่วนบุคคลที่ระบุ รวมถึงผู้ใช้ให้ความยินยอมในการเลือกใช้ข้อมูลดังกล่าวก่อนที่จะนําไปใช้ในลักษณะใดก็ตาม ไม่ได้ ไม่ได้ ได้ 285 สูง
เวอร์ชัน 8.3.5 การคุ้มครองข้อมูล ข้อมูลส่วนตัวที่ละเอียดอ่อน ตรวจสอบว่าการเข้าถึงข้อมูลที่ละเอียดอ่อนได้รับการตรวจสอบ (โดยไม่ต้องบันทึกข้อมูลที่ละเอียดอ่อน) หากมีการรวบรวมข้อมูลไว้ภายใต้คําสั่งคุ้มครองข้อมูลที่เกี่ยวข้อง หรือต้องการบันทึกข้อมูลการเข้าถึง ได้ ได้สิ ได้ 532 สื่อ
เวอร์ชัน 8.3.6 การคุ้มครองข้อมูล ข้อมูลส่วนตัวที่ละเอียดอ่อน ยืนยันว่าข้อมูลที่ละเอียดอ่อนที่อยู่ในหน่วยความจําจะถูกเขียนทับทันทีที่ไม่ได้จําเป็นต้องใช้เพื่อลดการถอดรหัสของหน่วยความจําโดยใช้เลข 0 หรือข้อมูลแบบสุ่ม ไม่ได้ ไม่ได้ ได้ 226 สื่อ
เวอร์ชัน 8.3.8 การคุ้มครองข้อมูล ข้อมูลส่วนตัวที่ละเอียดอ่อน ยืนยันว่าข้อมูลส่วนบุคคลที่ละเอียดอ่อนขึ้นอยู่กับการเก็บรักษาข้อมูล เช่น ข้อมูลเก่าหรือล้าสมัยจะถูกลบออกโดยอัตโนมัติตามกําหนดเวลาหรือตามสถานการณ์ ไม่ได้ ไม่ได้ ได้ 285 สูง
เวอร์ชัน 9.1.2 การสื่อสาร ความปลอดภัยในการสื่อสารของไคลเอ็นต์ ยืนยันโดยใช้เครื่องมือทดสอบ TLS ล่าสุดที่เปิดใช้เฉพาะชุดการเข้ารหัสที่มีความปลอดภัยสูง โดยตั้งค่าชุดการเข้ารหัสที่รัดกุมที่สุดเป็นที่ต้องการ ไม่ได้ ไม่ได้ ได้ 326 สื่อ
เวอร์ชัน 9.1.3 การสื่อสาร ความปลอดภัยในการสื่อสารของไคลเอ็นต์ ยืนยันว่าเปิดใช้เฉพาะโปรโตคอล TLS เวอร์ชันล่าสุดที่แนะนําเท่านั้น เช่น TLS 1.2 และ TLS 1.3 โปรโตคอล TLS เวอร์ชันล่าสุดควรเป็นตัวเลือกที่ต้องการ ไม่ได้ ไม่ได้ ได้ 326 สื่อ
เวอร์ชัน 9.2.1 การสื่อสาร ความปลอดภัยในการสื่อสารแบบเซิร์ฟเวอร์ ยืนยันว่าการเชื่อมต่อไปยังและจากเซิร์ฟเวอร์ใช้ใบรับรอง TLS ที่เชื่อถือได้ เมื่อมีการใช้ใบรับรองภายในหรือแบบ Self-signed จะต้องกําหนดค่าเซิร์ฟเวอร์ให้เชื่อถือ CA ภายในและใบรับรองที่กําหนดด้วยตนเองเท่านั้น และรูปแบบอื่นๆ ทั้งหมดควรถูกปฏิเสธ ไม่ได้ ไม่ได้ ได้ 295 สื่อ
เวอร์ชัน 9.2.4 การสื่อสาร ความปลอดภัยในการสื่อสารแบบเซิร์ฟเวอร์ ตรวจสอบว่าการเพิกถอนใบรับรองที่เหมาะสม เช่น การจัดการสถานะใบรับรองออนไลน์ (OCSP) มีการเปิดใช้และกําหนดค่าอยู่ ไม่ได้ ไม่ได้ ได้ 299 สื่อ
เวอร์ชัน 9.2.5 การสื่อสาร ความปลอดภัยในการสื่อสารแบบเซิร์ฟเวอร์ ยืนยันว่าบันทึกความล้มเหลวในการเชื่อมต่อ TLS แบ็กเอนด์แล้ว ไม่ได้ ไม่ได้ ได้ 544 สื่อ
เวอร์ชัน 10.1.1 โค้ดที่เป็นอันตราย ความสมบูรณ์ของโค้ด ยืนยันว่าใช้เครื่องมือวิเคราะห์โค้ดที่ตรวจจับโค้ดที่อาจเป็นอันตรายได้ เช่น ฟังก์ชันเวลา การดําเนินการไฟล์ที่ไม่ปลอดภัย และการเชื่อมต่อเครือข่าย ไม่ได้ ไม่ได้ ได้ 749 ต่ำ
เวอร์ชัน 10.2.3 โค้ดที่เป็นอันตราย การค้นหาโค้ดที่เป็นอันตราย ตรวจสอบว่าซอร์สโค้ดของแอปพลิเคชันและไลบรารีของบุคคลที่สามไม่มีประตูหลัง เช่น บัญชีหรือคีย์ที่ไม่มีการเข้ารหัสหรือคีย์เพิ่มเติม การสร้างความสับสนของโค้ด BLOB ไบนารีที่ไม่ได้บันทึก รูทคิต ตลอดจนการแก้ไขข้อบกพร่อง ฟีเจอร์การแก้ไขข้อบกพร่องที่ไม่ปลอดภัย หรือฟังก์ชันที่ล้าสมัย ไม่ปลอดภัย หรือซ่อนไว้ซึ่งอาจนําไปใช้อย่างเป็นอันตรายหากพบ ได้ ได้ ไม่ได้ 507 สื่อ
เวอร์ชัน 10.2.4 โค้ดที่เป็นอันตราย การค้นหาโค้ดที่เป็นอันตราย ตรวจสอบว่าซอร์สโค้ดของแอปพลิเคชันและไลบรารีของบุคคลที่สามไม่มีระเบิดเวลาโดยค้นหาฟังก์ชันที่เกี่ยวกับวันที่และเวลา ได้ ได้ ไม่ได้ 511 สื่อ
เวอร์ชัน 10.2.5 โค้ดที่เป็นอันตราย การค้นหาโค้ดที่เป็นอันตราย ตรวจสอบว่าซอร์สโค้ดของแอปพลิเคชันและไลบรารีของบุคคลที่สามไม่มีโค้ดที่เป็นอันตราย เช่น การโจมตีซาลามิ การข้ามตรรกะ หรือการวางระเบิดตรรกะ ได้ ได้ ไม่ได้ 511 สื่อ
เวอร์ชัน 10.3.2 โค้ดที่เป็นอันตราย ความสมบูรณ์ของแอปพลิเคชัน ตรวจสอบว่าแอปพลิเคชันใช้การปกป้องความสมบูรณ์ เช่น การรับรองโค้ดหรือความสมบูรณ์ของทรัพยากรย่อย แอปพลิเคชันต้องไม่โหลดหรือเรียกใช้โค้ดจากแหล่งที่ไม่น่าเชื่อถือ เช่น การโหลดประกอบด้วย โมดูล ปลั๊กอิน โค้ด หรือไลบรารีจากแหล่งข้อมูลที่ไม่น่าเชื่อถือ หรืออินเทอร์เน็ต ได้ ได้ ไม่ได้ 353 สื่อ
เวอร์ชัน 10.3.3 โค้ดที่เป็นอันตราย ความสมบูรณ์ของแอปพลิเคชัน ยืนยันว่าแอปพลิเคชันมีการป้องกันการรับช่วงโดเมนย่อยหากแอปพลิเคชันอาศัยรายการ DNS หรือโดเมนย่อย DNS เช่น ชื่อโดเมนที่หมดอายุ ตัวชี้ DNS หรือ CNAME ที่หมดอายุ โปรเจ็กต์ที่ที่เก็บซอร์สโค้ดสาธารณะ หรือ API ระบบคลาวด์แบบชั่วคราว ฟังก์ชัน Serverless หรือที่เก็บข้อมูลของพื้นที่เก็บข้อมูล (*autogen-bucket-id*.cloud.example.com) หรือคล้ายกัน การป้องกันอาจรวมถึงการตรวจสอบชื่อ DNS ที่แอปพลิเคชันใช้เป็นประจําเพื่อตรวจสอบวันหมดอายุหรือการเปลี่ยนแปลง ได้ ได้ ไม่ได้ 350 สื่อ
เวอร์ชัน 11.1.4 ตรรกะธุรกิจ ความปลอดภัยแบบลอจิคัลสําหรับธุรกิจ ยืนยันว่าแอปพลิเคชันมีการควบคุมระบบอัตโนมัติในการป้องกันการโทรที่มากเกินไป เช่น การขโมยข้อมูลจํานวนมาก คําขอตรรกะทางธุรกิจ การอัปโหลดไฟล์ หรือการปฏิเสธการโจมตีบริการ ได้ ได้ ไม่ได้ 770 สูง
เวอร์ชัน 12.4.1 ไฟล์และทรัพยากร พื้นที่เก็บข้อมูลไฟล์ ยืนยันว่าไฟล์จากแหล่งที่มาที่ไม่น่าเชื่อถือจัดเก็บอยู่นอกรูทเว็บ โดยมีสิทธิ์จํากัด ได้ ไม่ได้ ไม่ได้ 552 สื่อ
เวอร์ชัน 12.4.2 ไฟล์และทรัพยากร พื้นที่เก็บข้อมูลไฟล์ ยืนยันว่าไฟล์สแกนจากแหล่งที่ไม่น่าเชื่อถือจะสแกนโดยโปรแกรมสแกนไวรัสเพื่อป้องกันการอัปโหลดและแสดงเนื้อหาที่เป็นอันตรายที่ทราบ ได้ ไม่ได้ ไม่ได้ 509 สื่อ
เวอร์ชัน 13.1.1 API และบริการเว็บ การรักษาความปลอดภัยของบริการเว็บทั่วไป ตรวจสอบว่าคอมโพเนนต์ของแอปพลิเคชันทั้งหมดใช้การเข้ารหัสและการแยกวิเคราะห์เดียวกัน เพื่อหลีกเลี่ยงการแยกวิเคราะห์ที่โจมตี URI หรือพฤติกรรมการแยกวิเคราะห์ไฟล์ที่อาจใช้ในการโจมตี SSRF และ RFI ได้ ได้ ไม่ได้ 116 สูง
เวอร์ชัน 13.1.3 API และบริการเว็บ การรักษาความปลอดภัยของบริการเว็บทั่วไป ยืนยันว่า URL ของ API ไม่เปิดเผยข้อมูลที่ละเอียดอ่อน เช่น คีย์ API, โทเค็นเซสชัน ฯลฯ ได้ ไม่ได้ ไม่ได้ 598 สื่อ
เวอร์ชัน 13.1.4 API และบริการเว็บ การรักษาความปลอดภัยของบริการเว็บทั่วไป ยืนยันว่าการพิจารณาการให้สิทธิ์เกิดขึ้นทั้งใน URI, บังคับใช้โดยการรักษาความปลอดภัยแบบเป็นโปรแกรมหรือการประกาศที่ตัวควบคุมหรือเราเตอร์ และที่ระดับทรัพยากรซึ่งบังคับใช้โดยสิทธิ์ตามโมเดล ไม่ได้ ไม่ได้ ได้ 285 สูง
เวอร์ชัน 13.2.1 API และบริการเว็บ บริการเว็บ RESTful ยืนยันว่าวิธีการ RESTful HTTP ที่เปิดใช้เป็นตัวเลือกที่ถูกต้องสําหรับผู้ใช้หรือการดําเนินการ เช่น ป้องกันไม่ให้ผู้ใช้ปกติใช้ DELETE หรือ PUT ใน API หรือทรัพยากรที่มีการป้องกัน ได้ ไม่ได้ ไม่ได้ 650 สูง
เวอร์ชัน 14.1.1 การกำหนดค่า สร้างและติดตั้งใช้งาน ยืนยันว่ากระบวนการสร้างแอปพลิเคชันและการติดตั้งใช้งานดําเนินการด้วยวิธีที่ปลอดภัยและทําซ้ําได้ เช่น ระบบอัตโนมัติของ CI / CD, การจัดการการกําหนดค่าอัตโนมัติ และสคริปต์การติดตั้งใช้งานอัตโนมัติ ได้ ได้ ไม่ได้

เวอร์ชัน 14.1.4 การกำหนดค่า สร้างและติดตั้งใช้งาน ยืนยันว่าสามารถทําให้แอปพลิเคชัน การกําหนดค่า และทรัพยากร Dependency ทั้งหมดใช้งานได้อีกครั้งโดยใช้สคริปต์การติดตั้งใช้งานอัตโนมัติ ซึ่งสร้างขึ้นจากสมุดบันทึกและเอกสารที่มีการทดสอบภายในระยะเวลาที่เหมาะสม หรือคืนค่าจากข้อมูลสํารองได้ทันเวลา ได้ ได้ ไม่ได้

เวอร์ชัน 14.1.5 การกำหนดค่า สร้างและติดตั้งใช้งาน ตรวจสอบว่าผู้ดูแลระบบที่ได้รับอนุญาตสามารถตรวจสอบความสมบูรณ์ของการกําหนดค่าที่เกี่ยวข้องกับความปลอดภัยทั้งหมดเพื่อตรวจจับการปลอมแปลง ไม่ได้ ไม่ได้ ได้

เวอร์ชัน 14.2.1 การกำหนดค่า การขึ้นต่อกัน ยืนยันว่าคอมโพเนนต์ทั้งหมดเป็นเวอร์ชันล่าสุดแล้ว โดยควรใช้เครื่องมือตรวจสอบทรัพยากร Dependency ระหว่างการสร้างบิลด์หรือคอมไพล์ ([C2](https://owasp.org/www-project-proactive-controls/#div-numbering)) ไม่ได้ ไม่ได้ ได้ 1026 สื่อ
เวอร์ชัน 14.3.2 การกำหนดค่า การเปิดเผยด้านความปลอดภัยโดยไม่ได้ตั้งใจ ยืนยันว่าโหมดเว็บหรือแอปพลิเคชันเซิร์ฟเวอร์และเฟรมเวิร์กการแก้ไขข้อบกพร่องของแอปพลิเคชันถูกปิดใช้งานในเวอร์ชันที่ใช้งานจริงเพื่อกําจัดฟีเจอร์แก้ไขข้อบกพร่อง คอนโซลของนักพัฒนาซอฟต์แวร์ และการเปิดเผยข้อมูลด้านความปลอดภัยโดยไม่ได้ตั้งใจ ได้ ได้สิ ได้ 497 สื่อ
เวอร์ชัน 14.5.2 การกำหนดค่า การตรวจสอบส่วนหัวของคําขอ HTTP ยืนยันว่าส่วนหัว Origin ที่ระบุไม่ได้ใช้สําหรับการตรวจสอบสิทธิ์หรือการตัดสินใจควบคุมการเข้าถึง เนื่องจากผู้โจมตีสามารถเปลี่ยนส่วนหัวต้นทางได้อย่างง่ายดาย ไม่ได้ ไม่ได้ ได้ 346 สื่อ