req_id

Çalışma Grubu Geri Bildirimi

8.1.6

Bu şartı daha uygulanabilir bir şey olarak yeniden değerlendirir (ör. Yedekler yalnızca X süre boyunca saklanmalıdır, Yedekler hırsızlık/bozulma açısından izlenmelidir, Yedekler üretime geri taşınabilme özelliklerini onaylamak için düzenli olarak denetlenmelidir). Mevcut varsayım çok geniş kapsamlı ve daha fazla tanıma ihtiyaç duyuyor.

5.1.4

Diğer test durumlarının kopyası Bu, çok çaba gerektiren ancak değeri düşük bir test senaryosudur. Kaldırmanız önerilir.

7.3.3

Diğer test durumlarının kopyası Bu, çok çaba gerektiren ancak değeri düşük bir test senaryosudur. Kaldırmanız önerilir.

1.2.2

4.1.1 gibi başka bir istekte kapsandığı için kaldır

2.2.4

4.3.1 kapsamında olduğundan Req'i kaldırın.

(4.3.1 Yönetim arayüzlerinin,

yetkisiz kullanımı önleme) kapsamındadır. Bu kapsam, yönetici arayüzlerinde ve diğer dahili erişim yollarında kimlik avına karşı kimliğe bürünme direncini içerir.

2.2.5

Çoğu CSP tarafından desteklenmediği için mTLS'yi kaldırın. Ayrıca, CASA için test yapan geliştiricilerin çoğu şifre tabanlı kimlik doğrulama kullanacak.

2.4.3

Yazıldığı şekliyle standart, uygulanabilir olmak için yeterince spesifik değil.

2.4.5

ASVS'nin V5 sürümünde bu şart kaldırıldı ve 2.4.1'deki önerilen karma oluşturma algoritmaları bu şartı karşılayamıyor.

2.7.5

Üçüncü taraf OOB sağlayıcılarının analizini gerektirebileceğinden test yapılamaz. Kimlik doğrulama kodu kısa ömürlü olduğundan risk düşüktür.

2.8.2

şartı yalnızca özel ÇFİ çözümleriyle ilgilidir ve 6.4.2 ile 6.4.1'de de ele alınmıştır.

2.8.5

2.7.6 ile de kapsandığı için koşulu kaldırın. Başarısız denemelerin günlüğe kaydedilmesi, ASVS'nin günlük kaydı koşulu kapsamında yer alır.

2.8.6

Uygulama düzeyinde fiziksel OTP yaygın bir kullanım alanı değildir. Bu istek, yönetici arayüzleri için gereklidir. Ancak 4.3.1 no'lu şart (Yetkisiz kullanımı önlemek için yönetim arayüzlerinin uygun çok öğeli kimlik doğrulama kullandığını doğrulayın.) yönetim arayüzleri için MFA'yı kapsar ve bu riski ele alır.

2.9.1

Bu şart, ASVS'ye göre fiziksel cihazları kapsar (Kullanıcının, cihazına takması veya eşlemesi gereken akıllı kartlar ya da FIDO anahtarları, kriptografik güvenlik anahtarlarıdır).

şifreleme cihazını bilgisayara bağlayın. Doğrulayıcılar,

kriptografik cihazlar veya yazılımlar ve cihaz ya da yazılım, güvenli bir şekilde

(ör. depolanmış kriptografik anahtar) nedeniyle bu şart, CASA kapsamı dışında kalır. Çünkü fiziksel cihazların kimlik doğrulama riski, çok faktörlü kimlik doğrulama (fiziksel veya yazılım) amacıyla 4.3.1'de ele alınır.

2.9.3

Bu şart, ASVS'ye göre fiziksel cihazları kapsar (Kullanıcının, cihazına takması veya eşlemesi gereken akıllı kartlar ya da FIDO anahtarları, kriptografik güvenlik anahtarlarıdır).

şifreleme cihazını bilgisayara bağlayın. Doğrulayıcılar,

kriptografik cihazlar veya yazılımlar ve cihaz ya da yazılım, güvenli bir şekilde

(ör. depolanmış kriptografik anahtar) nedeniyle bu şart, CASA kapsamı dışında kalır. Çünkü fiziksel cihazların kimlik doğrulama riski, çok faktörlü kimlik doğrulama (fiziksel veya yazılım) amacıyla 4.3.1'de ele alınır.

2.10.1

Koşul, 2.10.2 ile çelişiyor

2.10.3

Çevrimdışı saldırı ve şifre depolama riskini kapsayan 2.4.1 (Uygulama için kullanıcının şifresi depolanırken aşağıdaki şifre karma oluşturma işlevlerinden birinin kullanıldığını doğrulayın: argon2id, scrypt, bcrypt veya PBKDF2) tarafından ele alınır.

2.10.4

6.4.2 Anahtar materyalinin uygulamaya maruz kalmadığını, bunun yerine şifreleme işlemleri için kasa gibi izole bir güvenlik modülü kullandığını doğrulayın.

3.2.3

3.4.1, 3.4.2 ve 3.4.3 maddeleri kapsamındadır.

3.5.1

Kullanıcı, OAuth sağlayıcısı aracılığıyla jetonları iptal edebilir.

4.3.3

Yönetici arayüzleri ve ayrıcalıklı erişim için MFA kapsamındadır.

5.1.3

Bu koşul, diğer giriş doğrulama koşulları tarafından karşılanıyorsa ve doğrulama eksikliği gerçek bir işletme mantığı güvenlik açığına yol açmıyorsa bu durum daha düşük bir önem derecesine sahip olabilir. Örneğin, telefon numarasının düzgün şekilde doğrulanmaması, bilgi sayfasında telefon numarasının yalnızca yanlış şekilde gösterilmesine neden olur. Bu durumun doğrudan güvenlik açısından bir etkisi yoktur.

5.1.4

Bu koşul, diğer giriş doğrulama koşulları tarafından karşılanıyorsa ve doğrulama eksikliği gerçek bir işletme mantığı güvenlik açığına yol açmıyorsa bu durum daha düşük bir önem derecesine sahip olabilir. Örneğin, telefon numarasının düzgün şekilde doğrulanmaması, bilgi sayfasında telefon numarasının yalnızca yanlış şekilde gösterilmesine neden olur. Bu durumun doğrudan güvenlik açısından bir etkisi yoktur.

5.3.2

Bu koşulun, her Unicode karakterinin geçerli olduğunu belirten kısmı test etmeyi zorlaştırabilir. Her uygulamada, her Unicode karakterinin sığabileceği kadar büyük bir metin formu bulunmaz. Ayrıca, belirli işletim sistemleri ve tüm Unicode alanı için bilgisayar korsanlığı araçları desteklenmediğinden sunucu desteklese bile bu özelliği test edemezsiniz. Genel olarak güvenlik değeri şüphelidir. Başlangıçta beta sürümüne dahil edilmişti ancak testteki sorunlar nedeniyle kaldırıldı.

6.2.5

6.2.4 ve 6.2.3 kapsamındadır.

6.2.6

6.2.4 ve 6.2.3 kapsamındadır.

6.3.1

6.2.4 ve 6.2.3 kapsamındadır.

6.3.3

diğer rastgele sayı oluşturma şartları kapsamında olmalıdır.

7.1.2

7.1.1 kapsamındadır.

7.1.3

7.1.1 kapsamındadır.

7.3.1

7.1.1 kapsamındadır.

7.3.3

7.1.1 kapsamındadır.

8.1.3

Kabul edilebilir veya gerekli parametreleri tanımlamak zordur. Test edilebilir bir durum değil. Neler gerekli sayılır? Bir istisnanın geçerli olup olmadığını nasıl belirleriz? CASA için kapsam dışı olarak kabul edilir.

8.3.3

Test edilebilir bir şart değildir, gizlilik politikası ve hizmet şartlarıyla ilgilidir, uygulama güvenliğiyle ilgili değildir. Bu, yasal ve uygunluk incelemesi olup CASA kapsamı dışındadır.

8.3.6

Kontrol, sisteme (Windows/Linux varyantı) ve cihaza özeldir ve çoğu durumda uygulama kontrolü değildir.

8.3.8

1.8.1, 1.8.2 ve 1.1.4 kapsamındadır.

9.2.5

8.3.5 kapsamındadır ve uygulamanın günlük politikası incelemeleri

10.1.1

Mimari incelemesi kapsamındadır ve önerilen en iyi uygulamalardan biridir. Şart test edilemiyor

10.2.3

Makul bir sürede yapılamaz. Tüm tuhaf kodlar belgelenmeli ve incelenmelidir. Ancak arka kapıların bulunmadığından emin olmak için belirli bir görevin ayarlanması, satır satır ayrıntılı bir kod incelemesi gerektirir ve arka kapıların bulunmadığını garanti etmez.

İyi tasarlanmış kötü amaçlı işlevleri test etmek zordur.

10.2.4

Test etmenin mümkün olmadığı durumlar Makul bir sürede yapılamaz. Tüm tuhaf kodlar belgelenmeli ve incelenmelidir. Ancak arka kapıların bulunmadığından emin olmak için belirli bir görevin ayarlanması, satır satır ayrıntılı bir kod incelemesi gerektirir ve arka kapıların bulunmadığını garanti etmez.

İyi tasarlanmış kötü amaçlı işlevleri test etmek zordur.

10.2.5

Test etmenin mümkün olmadığı durumlar Makul bir sürede yapılamaz. Tüm tuhaf kodlar belgelenmeli ve incelenmelidir. Ancak arka kapıların bulunmadığından emin olmak için belirli bir görevin ayarlanması, satır satır ayrıntılı bir kod incelemesi gerektirir ve arka kapıların bulunmadığını garanti etmez.

İyi tasarlanmış kötü amaçlı işlevleri test etmek zordur.

13.1.1

5.2.6 ve 5.3.9 maddeleri kapsamında

12.3.1

ASVS ve CASA'nın 5. bölümündeki (Doğrulama, Temizleme ve Kodlama) diğer mevcut şartlar kapsamında ele alınan yol geçişi riski

12.3.3

5.2.6 ve 5.3.9 maddeleri kapsamında

12.3.6

10.3.2, 12.4.1 ve 12.4.2 sürümlerinde düzeltildi

12.5.1

10.3.2 ve 12.4.2 kapsamındadır.

12.5.2

10.3.2, 12.4.1 ve 12.4.2 sürümlerinde düzeltildi

13.1.5

Bu koşul, diğer giriş doğrulama koşulları tarafından karşılanıyorsa ve doğrulama eksikliği gerçek bir işletme mantığı güvenlik açığına yol açmıyorsa bu durum daha düşük bir önem derecesine sahip olabilir. Örneğin, telefon numarasının düzgün şekilde doğrulanmaması, bilgi sayfasında telefon numarasının yalnızca yanlış şekilde gösterilmesine neden olur. Bu durumun doğrudan güvenlik açısından bir etkisi yoktur.

13.2.2

Bu koşul, diğer giriş doğrulama koşulları tarafından karşılanıyorsa ve doğrulama eksikliği gerçek bir işletme mantığı güvenlik açığına yol açmıyorsa bu durum daha düşük bir önem derecesine sahip olabilir. Örneğin, telefon numarasının düzgün şekilde doğrulanmaması, bilgi sayfasında telefon numarasının yalnızca yanlış şekilde gösterilmesine neden olur. Bu durumun doğrudan güvenlik açısından bir etkisi yoktur.

13.2.3

4.2.2 kapsamında

13.2.5

Bu koşul, diğer giriş doğrulama koşulları tarafından karşılanıyorsa ve doğrulama eksikliği gerçek bir işletme mantığı güvenlik açığına yol açmıyorsa bu durum daha düşük bir önem derecesine sahip olabilir. Örneğin, telefon numarasının düzgün şekilde doğrulanmaması, bilgi sayfasında telefon numarasının yalnızca yanlış şekilde gösterilmesine neden olur. Bu durumun doğrudan güvenlik açısından bir etkisi yoktur.

13.3.1

Bu koşul, diğer giriş doğrulama koşulları tarafından karşılanıyorsa ve doğrulama eksikliği gerçek bir işletme mantığı güvenlik açığına yol açmıyorsa bu durum daha düşük bir önem derecesine sahip olabilir. Örneğin, telefon numarasının düzgün şekilde doğrulanmaması, bilgi sayfasında telefon numarasının yalnızca yanlış şekilde gösterilmesine neden olur. Bu durumun doğrudan güvenlik açısından bir etkisi yoktur.

14.4.1

5.3.1 kapsamında

14.4.2

Bu koşul, diğer giriş doğrulama koşulları tarafından karşılanıyorsa ve doğrulama eksikliği gerçek bir işletme mantığı güvenlik açığına yol açmıyorsa bu durum daha düşük bir önem derecesine sahip olabilir. Örneğin, telefon numarasının düzgün şekilde doğrulanmaması, bilgi sayfasında telefon numarasının yalnızca yanlış şekilde gösterilmesine neden olur. Bu durumun doğrudan güvenlik açısından bir etkisi yoktur.

14.4.3

5.2.7 ve 5.3.3 kapsamındadır.

14.4.5

6.2.1 ve 9.2.1 kapsamındadır.

14.4.7

12.4.1 kapsamında

14.5.3

14.5.2 kapsamında

2.1.5

2.1.1 kapsamında

2.1.6

2.1.1 kapsamında

2.2.3

Risk, diğer otomasyon önleme kontrolleriyle karşılandığından Casa için geçerli değildir.

2.5.6

başka bir şifre korumasıyla korunuyorsa

3.1.1

Düşük teşhir riski ve ASVS'nin diğer kontrolleri kapsamındadır.

3.2.1

Düşük teşhir riski ve ASVS'nin diğer kontrolleri kapsamındadır.

3.4.4

Düşük teşhir riski ve ASVS'nin diğer kontrolleri kapsamındadır.

3.4.5

Düşük teşhir riski ve ASVS'nin diğer kontrolleri kapsamındadır.

4.2.1

13.1.4 kapsamında

5.2.8

diğer giriş doğrulama ve temizleme kontrolleriyle kapsanır.

5.3.5

diğer giriş doğrulama ve temizleme kontrolleriyle kapsanır.

7.4.1

günlük kaydı kontrolleri kapsamındadır

8.2.3

8.1.1 kapsamında

9.1.1

6.2.1 ve 9.2.1 kapsamındadır.

1.2.3

1.1.4, 1.8.4 ve 1.8.2 kapsamındadır.

1.4.4

1.1.4, 1.8.4 ve 1.8.2 kapsamındadır.

1.5.2

1.1.4, 1.8.4 ve 1.8.2 kapsamındadır.

1.5.3

1.1.4, 1.8.4 ve 1.8.2 kapsamındadır.

1.5.4

1.1.4, 1.8.4 ve 1.8.2 kapsamındadır.

1.9.1

1.1.4, 1.8.4 ve 1.8.2 kapsamındadır.

1.11.3

1.1.4, 1.8.4 ve 1.8.2 kapsamındadır.

1.14.1

1.1.4, 1.8.4 ve 1.8.2 kapsamındadır.

1.14.2

1.1.4, 1.8.4 ve 1.8.2 kapsamındadır.

1.14.3

1.1.4, 1.8.4 ve 1.8.2 kapsamındadır.

1.14.4

1.1.4, 1.8.4 ve 1.8.2 kapsamındadır.

1.14.5

1.1.4, 1.8.4 ve 1.8.2 kapsamındadır.

1.14.6

1.1.4, 1.8.4 ve 1.8.2 kapsamındadır.

6.1.2

6.1.1 kapsamında

6.1.3

6.1.1 kapsamında

2.10.2

2.5.4 maddesi kapsamındadır.

2.2.1

11.1.4 sürümünde düzeltildi

2.7.3

2.7.2 maddesi kapsamındadır.

2.7.4

2.7.2 maddesi kapsamındadır.

5.1.2

Otomasyon Önleme Kontrolü kapsamındadır

6.2.2

onaylanmış şifreleme algoritmaları tanımlanmadı

8.2.1

8.1.1 kapsamındadır.

9.1.2

9.2.1 maddesi kapsamında

9.1.3

9.2.1 maddesi kapsamında

5.5.1

1.8.2 sürümü kapsamındadır.

14.2.1

1.14.6 sürümünde düzeltildi

3.3.4

Bu durum, durum bilgisi içermeyen kimlik doğrulama/yetkilendirme kullanan uygulamalar için geçerli değildir. NCC Group'un kaldırma önerisini kabul edin. Bu, 3.3.3 bölümünde ele alınmalıdır.

req_id

Açıklama

1.1.4

Uygulamanın tüm güven sınırlarının, bileşenlerinin ve önemli veri akışlarının belgelerini ve gerekçelerini doğrulayın.

1.8.1

Tüm hassas verilerin tanımlandığını ve koruma düzeylerine göre sınıflandırıldığını doğrulayın.

1.8.2

Tüm koruma seviyelerinin, şifreleme gereksinimleri, bütünlük gereksinimleri, saklama, gizlilik ve diğer gizlilik gereksinimleri gibi bir dizi koruma gereksinimiyle ilişkili olduğunu ve bunların

uygulanır.

2.1.1

Kullanıcı tarafından belirlenen şifrelerin en az 12 karakter uzunluğunda olduğunu doğrulayın.

2.5.4

Paylaşılan veya varsayılan hesapların mevcut olmadığını doğrulayın (ör. "root",

"admin" veya "sa").

4.2.1

Kayıt oluşturma, okuma, güncelleme ve silme işlemlerini hedefleyen güvensiz doğrudan nesne referansı (IDOR) saldırılarına karşı hassas verilerin ve API'lerin korunduğunu doğrulayın. Örneğin, başka bir kullanıcının kaydını oluşturma veya güncelleme, herkesin kayıtlarını görüntüleme ya da tüm kayıtları silme.

1.14.6

Uygulamanın desteklenmeyen, güvenli olmayan veya kullanımdan kaldırılmış özellikler kullanmadığını doğrulayın.

NSAPI eklentileri, Flash, Shockwave, ActiveX gibi istemci tarafı teknolojiler,

Silverlight, NACL veya istemci tarafı Java uygulamacıkları.