q_id

ความคิดเห็นเกี่ยวกับกลุ่มการทํางาน

8.1.6

ให้พิจารณาว่าข้อกําหนดนี้ต้องดําเนินการเพิ่มเติมหรือไม่ (เช่น ควรสํารองข้อมูลข้อมูลสํารองไว้ X ครั้งเท่านั้น ควรตรวจสอบข้อมูลสํารองสําหรับการโจรกรรม/การทุจริต การสํารองข้อมูลควรได้รับการตรวจสอบเป็นประจําเพื่อยืนยันความสามารถในการกลับไปยังเวอร์ชันที่ใช้งานจริง) สมมติฐานปัจจุบันกว้างเกินไปและจําเป็นต้องมีคําจํากัดความเพิ่มเติม

5.1.4

ซ้ํากับกรอบการทดสอบอื่นๆ นี่เป็นกรณีการใช้งานทดสอบคุณค่าต่ําที่มีความพยายามสูง แนะนําให้นําออก

7.3.3

ซ้ํากับกรอบการทดสอบอื่นๆ นี่เป็นกรณีการใช้งานทดสอบคุณค่าต่ําที่มีความพยายามสูง แนะนําให้นําออก

1.2.2

นําออกเนื่องจากการครอบคลุมในข้อกําหนดอื่นๆ เช่น 4.1.1

2.2.4

นํา Req ออก เนื่องจากอยู่ภายใต้ 4.3.1

(4.3.1 ยืนยันว่าอินเทอร์เฟซผู้ดูแลระบบใช้การตรวจสอบสิทธิ์แบบหลายปัจจัยที่เหมาะสมเพื่อ

การป้องกันการใช้งานที่ไม่ได้รับอนุญาต) ซึ่งครอบคลุมการต่อต้านการแอบอ้างเป็นบุคคลอื่นจากฟิชชิงในอินเทอร์เฟซผู้ดูแลระบบและเส้นทางการเข้าถึงภายในอื่นๆ

2.2.5

CSP ส่วนใหญ่จะไม่รองรับการนํา mTLS ออก นอกจากนี้นักพัฒนาแอปส่วนใหญ่ที่ทดสอบสําหรับ CASA จะใช้การตรวจสอบสิทธิ์ด้วยรหัสผ่าน

2.4.3

มาตรฐานที่เขียนไม่ได้เจาะจงมากพอที่จะบังคับใช้ได้

2.4.5

ข้อกําหนดที่นําออกใน V5 ของ ASVS และอัลกอริทึมการแฮชที่แนะนําใน 2.4.1 ไม่เป็นไปตามข้อกําหนดนี้

2.7.5

ทดสอบไม่ได้เพราะอาจต้องวิเคราะห์ผู้ให้บริการ OOB บุคคลที่สาม แต่ก็มีความเสี่ยงต่ําเพราะรหัสการตรวจสอบสิทธิ์มีอายุสั้น

2.8.2

ข้อกําหนดนี้เกี่ยวข้องกับโซลูชัน MFA ที่กําหนดเองเท่านั้น รวมถึงอยู่ภายใต้ 6.4.2 และ 6.4.1 ด้วย

2.8.5

นําข้อกําหนดออกเพราะครอบคลุมโดย 2.7.6 นอกจากนี้ ยังบันทึกความพยายามที่ล้มเหลวอยู่ภายใต้ข้อกําหนดการบันทึกของ ASVS

2.8.6

OTP จริงในระดับแอปพลิเคชันไม่ใช่กรณีการใช้งานทั่วไป จําเป็นต้องมีอินเทอร์เฟซนี้สําหรับอินเทอร์เฟซผู้ดูแลระบบ อย่างไรก็ตาม ข้อกําหนด 4.3.1 (ตรวจสอบอินเทอร์เฟซผู้ดูแลระบบที่ใช้การตรวจสอบสิทธิ์แบบหลายปัจจัยที่เหมาะสมเพื่อป้องกันการใช้งานที่ไม่ได้รับอนุญาต) ครอบคลุม MFA สําหรับอินเทอร์เฟซผู้ดูแลระบบ และจะครอบคลุมความเสี่ยงนี้

2.9.1

ข้อกําหนดนี้ครอบคลุมอุปกรณ์ทางกายภาพตาม ASVS (คีย์ความปลอดภัยแบบเข้ารหัสคือสมาร์ทการ์ดหรือคีย์ FIDO ที่ผู้ใช้ต้องเสียบปลั๊กหรือจับคู่

คริปโตเคอเรนซีกับคอมพิวเตอร์เพื่อให้การตรวจสอบสิทธิ์เสร็จสมบูรณ์ ผู้ยืนยันจะส่งปัญหาไปยัง

อุปกรณ์หรือซอฟต์แวร์เข้ารหัส และอุปกรณ์หรือซอฟต์แวร์จะคํานวณคําตอบโดยอิงจาก

คีย์การเข้ารหัสที่จัดเก็บไว้) ทําให้ข้อกําหนดนี้อยู่นอกเหนือขอบเขตของ CASA เนื่องจากความเสี่ยงในการตรวจสอบสิทธิ์ของอุปกรณ์จริงอยู่ภายใต้ 4.3.1 เพื่อจุดประสงค์ของ MFA (ทางกายภาพหรือซอฟต์แวร์)

2.9.3

ข้อกําหนดนี้ครอบคลุมอุปกรณ์ทางกายภาพตาม ASVS (คีย์ความปลอดภัยแบบเข้ารหัสคือสมาร์ทการ์ดหรือคีย์ FIDO ที่ผู้ใช้ต้องเสียบปลั๊กหรือจับคู่

คริปโตเคอเรนซีกับคอมพิวเตอร์เพื่อให้การตรวจสอบสิทธิ์เสร็จสมบูรณ์ ผู้ยืนยันจะส่งปัญหาไปยัง

อุปกรณ์หรือซอฟต์แวร์เข้ารหัส และอุปกรณ์หรือซอฟต์แวร์จะคํานวณคําตอบโดยอิงจาก

คีย์การเข้ารหัสที่จัดเก็บไว้) ทําให้ข้อกําหนดนี้อยู่นอกเหนือขอบเขตของ CASA เนื่องจากความเสี่ยงในการตรวจสอบสิทธิ์ของอุปกรณ์จริงอยู่ภายใต้ 4.3.1 เพื่อจุดประสงค์ของ MFA (ทางกายภาพหรือซอฟต์แวร์)

2.10.1

ข้อกําหนดขัดแย้งกับ 2.10.2

2.10.3

ครอบคลุมโดย 2.4.1 (ยืนยันว่ามีฟังก์ชันการแฮชรหัสผ่านอย่างใดอย่างหนึ่งต่อไปนี้เมื่อจัดเก็บรหัสผ่านของผู้ใช้สําหรับแอปพลิเคชัน ได้แก่ argon2id, scrypt, bcrypt หรือ PBKDF2) ซึ่งครอบคลุมความเสี่ยงต่อการโจมตีแบบออฟไลน์และพื้นที่เก็บข้อมูลรหัสผ่าน

2.10.4

อยู่ภายใต้ 6.4.2 ยืนยันว่าไม่มีการเปิดเผยเนื้อหาสําคัญในแอปพลิเคชัน แต่ใช้โมดูลความปลอดภัยแยกต่างหาก เช่น ห้องนิรภัยสําหรับการดําเนินการเข้ารหัสแทน

3.2.3

ครอบคลุมโดย 3.4.1, 3.4.2 และ 3.4.3

3.5.1

ผู้ใช้สามารถเพิกถอนโทเค็นผ่านผู้ให้บริการ OAuth ได้

4.3.3

MQ จะอยู่ภายใต้อินเทอร์เฟซผู้ดูแลระบบและการเข้าถึงที่มีสิทธิ์พิเศษ

5.1.3

ข้อกําหนดนี้ครอบคลุมตามข้อกําหนดอื่นๆ ในการตรวจสอบข้อมูล และหากการขาดการตรวจสอบไม่ได้ทําให้เกิดช่องโหว่จริงของตรรกะทางธุรกิจ ก็อาจถือว่าความรุนแรงต่ํากว่า ตัวอย่างการที่ตรวจสอบความถูกต้องของหมายเลขโทรศัพท์ไม่ถูกต้องจะทําให้ระบบแสดงหมายเลขโทรศัพท์ในหน้าข้อมูลอย่างไม่เหมาะสมเท่านั้น ซึ่งไม่ส่งผลต่อความปลอดภัยโดยตรง

5.1.4

ข้อกําหนดนี้ครอบคลุมตามข้อกําหนดอื่นๆ ในการตรวจสอบข้อมูล และหากการขาดการตรวจสอบไม่ได้ทําให้เกิดช่องโหว่จริงของตรรกะทางธุรกิจ ก็อาจถือว่าความรุนแรงต่ํากว่า ตัวอย่างการที่ตรวจสอบความถูกต้องของหมายเลขโทรศัพท์ไม่ถูกต้องจะทําให้ระบบแสดงหมายเลขโทรศัพท์ในหน้าข้อมูลอย่างไม่เหมาะสมเท่านั้น ซึ่งไม่ส่งผลต่อความปลอดภัยโดยตรง

5.3.2

ส่วนหนึ่งของข้อกําหนดนี้ที่ระบุอักขระ Unicode ทุกรายการที่ถูกต้องอาจทําให้ทดสอบได้ยาก แอปพลิเคชันบางรายการอาจไม่มีแบบฟอร์มข้อความที่ใหญ่พอที่จะใส่อักขระ Unicode ทุกตัวได้ รวมถึงขาดการรองรับระบบปฏิบัติการและเครื่องมือการแฮ็กบางรายการสําหรับพื้นที่ทํางาน Unicode ทั้งหมด ซึ่งช่วยให้คุณทดสอบไม่ได้แม้ว่าเซิร์ฟเวอร์จะรองรับก็ตาม ค่าความปลอดภัยที่น่าสงสัยโดยรวม สถานะเดิมเป็นเวอร์ชันเบต้า แต่ถูกนําออกเนื่องจากปัญหาด้านการทดสอบ

6.2.5

ครอบคลุมโดย 6.2.4 และ 6.2.3

6.2.6

ครอบคลุมโดย 6.2.4 และ 6.2.3

6.3.1

ครอบคลุมโดย 6.2.4 และ 6.2.3

6.3.3

อยู่ภายใต้ข้อกําหนดอื่นๆ ในการสร้างหมายเลขสุ่ม

7.1.2

ครอบคลุมโดย 7.1.1

7.1.3

ครอบคลุมโดย 7.1.1

7.3.1

ครอบคลุมโดย 7.1.1

7.3.3

ครอบคลุมโดย 7.1.1

8.1.3

เป็นการอธิบายลักษณะของพารามิเตอร์ที่ยอมรับหรือจําเป็นได้ยาก ไม่ใช่กรณีที่สามารถทดสอบได้ สิ่งใดที่จําเป็น เราจะพิจารณาได้อย่างไรว่าข้อยกเว้นนั้นถูกต้อง ถือว่าอยู่นอกเหนือขอบเขตการควบคุมสําหรับ CASA

8.3.3

ไม่ใช่ข้อกําหนดที่ทดสอบได้ ที่เกี่ยวข้องกับนโยบายความเป็นส่วนตัวและข้อกําหนดในการให้บริการ ไม่ใช่ความปลอดภัยของแอปพลิเคชัน นี่คือการตรวจสอบทางกฎหมายและการปฏิบัติตามข้อกําหนดและอยู่นอกขอบเขตของ CASA

8.3.6

การควบคุมเฉพาะระบบ (ตัวแปร Windows/linux) และเฉพาะอุปกรณ์ ไม่ใช่การควบคุมแอปพลิเคชัน

8.3.8

ครอบคลุมโดย 1.8.1, 1.8.2 และ 1.1.4

9.2.5

ครอบคลุมโดย 8.3.5 และการตรวจสอบนโยบายการบันทึกของแอปพลิเคชัน

10.1.1

ครอบคลุมโดยการตรวจสอบสถาปัตยกรรมและเป็นแนวทางปฏิบัติแนะนํา ทดสอบข้อกําหนดไม่ได้

10.2.3

ไม่สามารถดําเนินการภายในระยะเวลาที่เหมาะสม คุณควรบันทึกและตรวจสอบโค้ดที่แปลกๆ ของคุณ อย่างไรก็ตาม การตั้งค่างานบางอย่างเพื่อให้แน่ใจว่าไม่มีประตูหลังให้ต้องใช้บรรทัดเชิงลึกโดยการตรวจสอบโค้ดบรรทัด และไม่ได้เป็นการรับประกันว่าจะไม่มีรายการย้อนหลัง

การทดสอบฟังก์ชันที่เป็นอันตรายซึ่งออกแบบมาอย่างดีนั้นยาก

10.2.4

ไม่มีวิธีที่เป็นไปได้ในการทดสอบ ไม่สามารถดําเนินการภายในระยะเวลาที่เหมาะสม คุณควรเขียนโค้ดและตรวจสอบโค้ดที่แปลกๆ ดังกล่าว อย่างไรก็ตาม การตั้งค่าให้งานบางอย่างทําเพื่อให้แน่ใจว่าไม่มีประตูหลังให้ต้องใช้บรรทัดเชิงลึกโดยการตรวจสอบโค้ดบรรทัด และไม่ได้เป็นการรับประกันว่าจะไม่มีรายการย้อนหลัง

การทดสอบฟังก์ชันที่เป็นอันตรายซึ่งออกแบบมาอย่างดีนั้นยาก

10.2.5

ไม่มีวิธีที่เป็นไปได้ในการทดสอบ ไม่สามารถดําเนินการภายในระยะเวลาที่เหมาะสม คุณควรเขียนโค้ดและตรวจสอบโค้ดที่แปลกๆ ดังกล่าว อย่างไรก็ตาม การตั้งค่าให้งานบางอย่างทําเพื่อให้แน่ใจว่าไม่มีประตูหลังให้ต้องใช้บรรทัดเชิงลึกโดยการตรวจสอบโค้ดบรรทัด และไม่ได้เป็นการรับประกันว่าจะไม่มีรายการย้อนหลัง

การทดสอบฟังก์ชันที่เป็นอันตรายซึ่งออกแบบมาอย่างดีนั้นยาก

13.1.1

ครอบคลุมโดย 5.2.6 และ 5.3.9

12.3.1

ความเสี่ยงในการข้ามเส้นทางตามข้อกําหนดอื่นๆ จากบทที่ 5 (การตรวจสอบ การทําความสะอาด และการเข้ารหัส) ของ ASVS และ CASA

12.3.3

ครอบคลุมโดย 5.2.6 และ 5.3.9

12.3.6

อยู่ภายใต้ 10.3.2 12.4.1 และ 12.4.2

12.5.1

ครอบคลุมโดย 10.3.2 และ 12.4.2

12.5.2

อยู่ภายใต้ 10.3.2 12.4.1 และ 12.4.2

13.1.5

ข้อกําหนดนี้ครอบคลุมตามข้อกําหนดอื่นๆ ในการตรวจสอบข้อมูล และหากการขาดการตรวจสอบไม่ได้ทําให้เกิดช่องโหว่จริงของตรรกะทางธุรกิจ ก็อาจถือว่าความรุนแรงต่ํากว่า ตัวอย่างการที่ตรวจสอบความถูกต้องของหมายเลขโทรศัพท์ไม่ถูกต้องจะทําให้ระบบแสดงหมายเลขโทรศัพท์ในหน้าข้อมูลอย่างไม่เหมาะสมเท่านั้น ซึ่งไม่ส่งผลต่อความปลอดภัยโดยตรง

13.2.2

ข้อกําหนดนี้ครอบคลุมตามข้อกําหนดอื่นๆ ในการตรวจสอบข้อมูล และหากการขาดการตรวจสอบไม่ได้ทําให้เกิดช่องโหว่จริงของตรรกะทางธุรกิจ ก็อาจถือว่าความรุนแรงต่ํากว่า ตัวอย่างการที่ตรวจสอบความถูกต้องของหมายเลขโทรศัพท์ไม่ถูกต้องจะทําให้ระบบแสดงหมายเลขโทรศัพท์ในหน้าข้อมูลอย่างไม่เหมาะสมเท่านั้น ซึ่งไม่ส่งผลต่อความปลอดภัยโดยตรง

13.2.3

ครอบคลุมโดย 4.2.2

13.2.5

ข้อกําหนดนี้ครอบคลุมตามข้อกําหนดอื่นๆ ในการตรวจสอบข้อมูล และหากการขาดการตรวจสอบไม่ได้ทําให้เกิดช่องโหว่จริงของตรรกะทางธุรกิจ ก็อาจถือว่าความรุนแรงต่ํากว่า ตัวอย่างการที่ตรวจสอบความถูกต้องของหมายเลขโทรศัพท์ไม่ถูกต้องจะทําให้ระบบแสดงหมายเลขโทรศัพท์ในหน้าข้อมูลอย่างไม่เหมาะสมเท่านั้น ซึ่งไม่ส่งผลต่อความปลอดภัยโดยตรง

13.3.1

ข้อกําหนดนี้ครอบคลุมตามข้อกําหนดอื่นๆ ในการตรวจสอบข้อมูล และหากการขาดการตรวจสอบไม่ได้ทําให้เกิดช่องโหว่จริงของตรรกะทางธุรกิจ ก็อาจถือว่าความรุนแรงต่ํากว่า ตัวอย่างการที่ตรวจสอบความถูกต้องของหมายเลขโทรศัพท์ไม่ถูกต้องจะทําให้ระบบแสดงหมายเลขโทรศัพท์ในหน้าข้อมูลอย่างไม่เหมาะสมเท่านั้น ซึ่งไม่ส่งผลต่อความปลอดภัยโดยตรง

14.4.1

ครอบคลุมโดย 5.3.1

14.4.2

ข้อกําหนดนี้ครอบคลุมตามข้อกําหนดอื่นๆ ในการตรวจสอบข้อมูล และหากการขาดการตรวจสอบไม่ได้ทําให้เกิดช่องโหว่จริงของตรรกะทางธุรกิจ ก็อาจถือว่าความรุนแรงต่ํากว่า ตัวอย่างการที่ตรวจสอบความถูกต้องของหมายเลขโทรศัพท์ไม่ถูกต้องจะทําให้ระบบแสดงหมายเลขโทรศัพท์ในหน้าข้อมูลอย่างไม่เหมาะสมเท่านั้น ซึ่งไม่ส่งผลต่อความปลอดภัยโดยตรง

14.4.3

ครอบคลุมโดย 5.2.7 และ 5.3.3

14.4.5

ครอบคลุมโดย 6.2.1 และ 9.2.1

14.4.7

อยู่ภายใต้ 12.4.1

14.5.3

อยู่ภายใต้ 14.5.2

2.1.5

ครอบคลุมโดย 2.1.1

2.1.6

ครอบคลุมโดย 2.1.1

2.2.3

ไม่เกี่ยวข้องกับ Casa เนื่องจากความเสี่ยงดังกล่าวอยู่ในการควบคุมอื่นๆ ของการป้องกันการทํางานอัตโนมัติ

2.5.6

อยู่ภายใต้การป้องกันด้วยรหัสผ่านอื่นๆ

3.1.1

ความเสี่ยงต่อการติดเชื้อต่ําและอยู่ภายใต้การควบคุมอื่นๆ ของ ASVS

3.2.1

ความเสี่ยงต่อการติดเชื้อต่ําและอยู่ภายใต้การควบคุมอื่นๆ ของ ASVS

3.4.4

ความเสี่ยงต่อการติดเชื้อต่ําและอยู่ภายใต้การควบคุมอื่นๆ ของ ASVS

3.4.5

ความเสี่ยงต่อการติดเชื้อต่ําและอยู่ภายใต้การควบคุมอื่นๆ ของ ASVS

4.2.1

อยู่ภายใต้ 13.1.4

5.2.8

รวมอยู่ในการตรวจสอบความถูกต้องอื่นๆ และการตรวจสอบการทําความสะอาด

5.3.5

รวมอยู่ในการตรวจสอบความถูกต้องอื่นๆ และการตรวจสอบการทําความสะอาด

7.4.1

อยู่ภายใต้การตรวจสอบการบันทึก

8.2.3

อยู่ภายใต้ 8.1.1

9.1.1

ครอบคลุมโดย 6.2.1 และ 9.2.1

1.2.3

ครอบคลุมโดย 1.1.4, 1.8.4 และ 1.8.2

1.4.4

ครอบคลุมโดย 1.1.4, 1.8.4 และ 1.8.2

1.5.2

ครอบคลุมโดย 1.1.4, 1.8.4 และ 1.8.2

1.5.3

ครอบคลุมโดย 1.1.4, 1.8.4 และ 1.8.2

1.5.4

ครอบคลุมโดย 1.1.4, 1.8.4 และ 1.8.2

1.9.1

ครอบคลุมโดย 1.1.4, 1.8.4 และ 1.8.2

1.11.3

ครอบคลุมโดย 1.1.4, 1.8.4 และ 1.8.2

1.14.1

ครอบคลุมโดย 1.1.4, 1.8.4 และ 1.8.2

1.14.2

ครอบคลุมโดย 1.1.4, 1.8.4 และ 1.8.2

1.14.3

ครอบคลุมโดย 1.1.4, 1.8.4 และ 1.8.2

1.14.4

ครอบคลุมโดย 1.1.4, 1.8.4 และ 1.8.2

1.14.5

ครอบคลุมโดย 1.1.4, 1.8.4 และ 1.8.2

1.14.6

ครอบคลุมโดย 1.1.4, 1.8.4 และ 1.8.2

6.1.2

ครอบคลุมโดย 6.1.1

6.1.3

ครอบคลุมโดย 6.1.1

2.10.2

ครอบคลุมโดย 2.5.4

2.2.1

ครอบคลุมโดย 11.1.4

2.7.3

ครอบคลุมโดย 2.7.2

2.7.4

ครอบคลุมโดย 2.7.2

5.1.2

อยู่ภายใต้การควบคุมการต่อต้านระบบอัตโนมัติ

6.2.2

ไม่ได้กําหนดอัลกอริทึมการเข้ารหัสลับที่ได้รับอนุมัติ

8.2.1

ครอบคลุมโดย 8.1.1

9.1.2

ครอบคลุมโดย 9.2.1

9.1.3

ครอบคลุมโดย 9.2.1

5.5.1

ครอบคลุมโดย 1.8.2

14.2.1

ครอบคลุมโดย 1.14.6

3.3.4

ทั้งนี้ไม่เป็นจริงสําหรับแอปพลิเคชันที่ใช้ AuthN/Z แบบไม่เก็บสถานะ ยอมรับคําแนะนําให้นําออกของ NCC Group อยู่ภายใต้ 3.3.3

q_id

คำอธิบาย

1.1.4

ยืนยันเอกสารและเหตุผลของขอบเขตความน่าเชื่อถือ คอมโพเนนต์ และการรับส่งข้อมูลที่สําคัญของแอปพลิเคชันทั้งหมด

1.8.1

ยืนยันว่ามีการระบุข้อมูลที่ละเอียดอ่อนทั้งหมดและจัดประเภทเป็นระดับการป้องกัน

1.8.2

ยืนยันว่าระดับการปกป้องทั้งหมดมีชุดข้อกําหนดการป้องกันที่เกี่ยวข้อง เช่น ข้อกําหนดด้านการเข้ารหัส ข้อกําหนดด้านความสมบูรณ์ การเก็บรักษา ความเป็นส่วนตัว และข้อกําหนดด้านการรักษาข้อมูลที่เป็นความลับอื่นๆ รวมถึง

ใช้ในสถาปัตยกรรม

2.1.1

ตรวจสอบว่ารหัสผ่านของชุดผู้ใช้มีความยาวอย่างน้อย 12 อักขระ

2.5.4

ยืนยันว่าไม่มีบัญชีที่ใช้ร่วมกันหรือบัญชีเริ่มต้น (เช่น "root",

"ผู้ดูแลระบบ" หรือ "sa")

4.2.1

ตรวจสอบว่าข้อมูลและ API ที่มีความละเอียดอ่อนได้รับการปกป้องจากการโจมตีออบเจ็กต์ที่ไม่ปลอดภัยโดยตรง (IDOR) ซึ่งกําหนดเป้าหมายเป็นการสร้าง อ่าน อัปเดต และลบระเบียน เช่น สร้างหรืออัปเดตระเบียนของผู้อื่น ดูบันทึกของทุกคน หรือลบระเบียนทั้งหมด

1.14.6

ยืนยันว่าแอปพลิเคชันไม่ได้ใช้ระบบไม่รองรับ ไม่ปลอดภัย หรือเลิกใช้งาน

เทคโนโลยีฝั่งไคลเอ็นต์ เช่น ปลั๊กอิน NSAPI, Flash, Shockwave, ActiveX,

Silverlight, NACL หรือแอปเพล็ต Java ฝั่งไคลเอ็นต์