Güncelleme tarihi: 29.03.2023
Uygulama savunma ittifakı (ADA) çalışma grubu, 2023'ün 1. çeyreğinde CASA test prosedürlerini güncellemek, basitleştirmek ve standartlaştırmak için inceleme oturumları gerçekleştirdi. Bu çalışma oturumlarına göre CASA şartları ve süreci aşağıdaki şekilde güncellendi:
-
CASA gereksinimleri 134'ten 73'e yükseltildi (aşağıdaki ayrıntılara bakın).
-
Bir uygulamanın CASA değerlendirmesini geçebilmesi için CWE derecelendirmesi ne olursa olsun 73 CASA koşulunun tümünü geçmesi veya temizlemesi gerekir.
-
Laboratuvar tarafından yürütülen 2. Katman'ı içerecek şekilde Güncellenen Katmanlar açıklamaları.
-
Her katman için güven bilgileri eklendi.
-
2. katmandaki kendi kendine tarama sürecini basitleştirmek için küçük güncelleme.
CASA gereksinimleri güncellemesi
-
Mevcut şartların güncel listesini burada bulabilirsiniz
-
Aşağıdaki şartlar kaldırıldı
|
istek_kimliği |
Çalışma Grubu Geri Bildirimi |
|
8.1.6 |
Bu koşulun daha harekete geçirici olduğunu düşünmek gerekir (ör. Yedeklemeler yalnızca X süre boyunca saklanmalıdır, Yedeklemeler hırsızlık/yolsuzluk açısından izlenmeli, Yedekler tekrar üretime taşınabilmek için düzenli olarak denetlenmelidir). Mevcut varsayım çok geniştir ve daha fazla tanım gerektirir. |
|
5.1.4 |
Diğer test durumların kopyası. Bu, yüksek çaba gerektiren düşük değerli bir test durumudur. Kaldırılması önerilir. |
|
7.3.3 |
Diğer test durumların kopyası. Bu, yüksek çaba gerektiren düşük değerli bir test durumudur. Kaldırılması önerilir. |
|
1.2.2 |
4.1.1 gibi diğer koşullardaki kapsam nedeniyle kaldırma |
|
2.2.4 |
4.3.1 sürümü kapsamında olan talebi kaldırın (4.3.1 Yönetim arayüzlerinin doğru yapılandırabilmek için yetkisiz kullanımları önleyin). |
|
2,2,5 |
Çoğu CSP, mTLS'yi desteklemediğinden kaldırın ve CASA için test edilen geliştiricilerin çoğunda şifre tabanlı kimlik doğrulama yöntemi kullanılır |
|
2,4,3 |
Yazıldığı üzere standart, uygulanabilecek kadar spesifik değil |
|
2,4,5 |
ASVS'nin V5'inde kaldırılan koşul ve 2.4.1'de önerilen karma oluşturma algoritmaları bu koşulu karşılayamıyor |
|
2,7,5 |
Üçüncü taraf OOB sağlayıcıların analizini gerektirebileceği için test yapmak uygun değildir. Bu nedenle, kimlik doğrulama kodunun kısa ömürlü olması nedeniyle buradaki risk oldukça düşüktür. |
|
2,8,2 |
koşul yalnızca 6.4.2 ve 6.4.1 kapsamında olan özel MFA çözümleri için geçerlidir |
|
2,8,5 |
Koşul 2.7.6'da karşılandığı için şartı kaldırın. Buna ek olarak, başarısız denemelerin günlüğe kaydedilmesi ASVS'nin günlük kaydı gereksinimi kapsamındadır. |
|
2,8,6 |
Uygulama düzeyinde fiziksel OTP yaygın bir kullanım alanı değildir, bu koşul yönetici arayüzleri için gereklidir. Ancak 4.3.1 (Yönetici arayüzlerinin yetkisiz kullanımı önlemek için uygun çok öğeli kimlik doğrulamasını kullandığını doğrulayın) yönetici arayüzleri için MFA'yı kapsar ve bu riski kapsar |
|
2,9,1 |
Bu gereklilik, ASVS'ye göre fiziksel cihazları kapsar (kriptografik güvenlik anahtarları, kullanıcının fişe takması veya eşlemesi gereken akıllı kartlar ya da FIDO anahtarlarıdır Kimlik doğrulama işlemini tamamlamak için şifreleme cihazını bilgisayarınıza kaydedin. Doğrulayıcılar, ve yazılım veya yanıt hesaplanırken kullanılacak yanıt güvenli bir şekilde şifreli anahtar.) |
|
2,9,3 |
Bu gereklilik, ASVS'ye göre fiziksel cihazları kapsar (kriptografik güvenlik anahtarları, kullanıcının fişe takması veya eşlemesi gereken akıllı kartlar ya da FIDO anahtarlarıdır Kimlik doğrulama işlemini tamamlamak için şifreleme cihazını bilgisayarınıza kaydedin. Doğrulayıcılar, ve yazılım veya yanıt hesaplanırken kullanılacak yanıt güvenli bir şekilde şifreli anahtar.) |
|
2.10.1 |
Koşul 2.10.2 ile çelişkidir |
|
2.10.3 |
2.4.1 kapsamında (Uygulama için kullanıcı şifresini depolarken şu şifre karma oluşturma işlevlerinden birinin kullanıldığını doğrulayın: argon2id, scrypt, bcrypt veya PBKDF2), çevrimdışı saldırılar ve şifre depolama riskini kapsar. |
|
2.10.4 |
6.4.2 kapsamındadır. Anahtar materyalinin uygulamaya maruz kalmadığını, bunun yerine kriptografik işlemler için Apps Kasası gibi izole bir güvenlik modülü kullandığını doğrulayın. |
|
3.2.3 |
3.4.1, 3.4.2 ve 3.4.3 kapsamındadır |
|
3,5,1 |
Kullanıcı, OAuth sağlayıcısı aracılığıyla jetonları iptal edebilir |
|
4.3.3 |
İstek, yönetici arayüzleri ve ayrıcalıklı erişim için MFA kapsamındadır |
|
5.1.3 |
Bu şart, diğer giriş doğrulama şartları kapsamındadır ve doğrulama eksikliği, gerçek bir işletme mantığı güvenlik açığına neden olmuyorsa bu durum daha düşük önem düzeyinde olabilir. Telefon numarasının doğru şekilde doğrulanmamış olması, bilgi sayfasında yalnızca telefon numarasının yanlış şekilde görüntülenmesine neden olur. Bu durum, güvenlikle ilgili doğrudan sonuçlar doğurmaz. |
|
5.1.4 |
Bu şart, diğer giriş doğrulama şartları kapsamındadır ve doğrulama eksikliği, gerçek bir işletme mantığı güvenlik açığına neden olmuyorsa bu durum daha düşük önem düzeyinde olabilir. Telefon numarasının doğru şekilde doğrulanmamış olması, bilgi sayfasında yalnızca telefon numarasının yanlış şekilde görüntülenmesine neden olur. Bu durum, güvenlikle ilgili doğrudan sonuçlar doğurmaz. |
|
5.3.2 |
Bu koşulun her unicode karakterini geçerli bir şekilde belirten bölümü test etmekte zorlanabilir. Her uygulamada, her unicode karakterine sığacak kadar büyük bir metin formu bulunmaz. Tüm unicode alanı için belirli işletim sistemleri ve bilgisayar korsanlığı araçları da desteklenmemektedir. Bu nedenle, sunucu tarafından desteklense bile bu durumu test edemezsiniz. Genel olarak şüpheli güvenlik değeri. Başlangıçta beta sürümünde yer almasına rağmen test aşamasındaki sorunlar nedeniyle kaldırılmıştır. |
|
6.2.5 |
6.2.4 ve 6.2.3 kapsamındadır |
|
6.2.6 |
6.2.4 ve 6.2.3 kapsamındadır |
|
6.3.1 |
6.2.4 ve 6.2.3 kapsamındadır |
|
6.3.3 |
diğer rastgele sayı üretme şartları kapsamındadır. |
|
7.1.2 |
7.1.1 kapsamında |
|
7.1.3 |
7.1.1 kapsamında |
|
7.3.1 |
7.1.1 kapsamında |
|
7.3.3 |
7.1.1 kapsamında |
|
8.1.3 |
Kabul edilebilir veya gerekli parametrelerin ne olduğunu açıklamak zordur. Test edilebilir bir durum değildir. Neler gerekli? Bir istisnanın geçerli olup olmadığını nasıl belirleriz? CASA için kapsam dışı olarak değerlendirildi |
|
8.3.3 |
Bu test edilebilir bir koşul değildir, gizlilik politikası ve hizmet şartlarıyla ilgilidir ve uygulama güvenliğiyle ilgili değildir. Bu, yasal ve uygunlukla ilgili bir inceleme olup CASA kapsamında değildir |
|
8,3,6 |
Kontrol, sisteme (pencereler/linux varyantı) ve cihaza özgüdür ancak çoğu durumda uygulama kontrolüne tabi değildir. |
|
8.3.8 |
1.8.1, 1.8.2 ve 1.1.4 kapsamındadır |
|
9,2,5 |
8.3.5 ve uygulamanın günlüğe kaydetme politikaları incelemeleri kapsamındadır. |
|
10.1.1 |
Mimari incelemenin kapsamındadır ve önerilen bir en iyi uygulamadır. Koşul test edilemez |
|
10,2,3 |
Makul bir süre içinde yapılamaz. Tüm tuhaf kodların belgelenmesi ve incelenmesi gerekir. Ancak, arka kapıların mevcut olmadığından emin olmak için belirli bir görev ayarlamak, satır kodu incelemesinin kapsamlı bir şekilde yapılmasını gerektirir ve arka kapıların mevcut olmadığını garanti etmez. İyi tasarlanmış kötü amaçlı işlevler için test edilmesi zor |
|
10,2,4 |
Test etmenin olası bir yolu yoktur. Makul bir sürede bunu yapmak mümkün değildir. Tüm tuhaf kodların belgelenmesi ve incelenmesi gerekir. Ancak arka kapıların mevcut olmadığından emin olmak için belirli bir görev belirlemek, satır satır ayrıntılı bir inceleme gerektirir ve arka kapıların mevcut olmadığını garanti etmez. İyi tasarlanmış kötü amaçlı işlevler için test edilmesi zor |
|
10,2,5 |
Test etmenin olası bir yolu yoktur. Makul bir sürede bunu yapmak mümkün değildir. Tüm tuhaf kodların belgelenmesi ve incelenmesi gerekir. Ancak arka kapıların mevcut olmadığından emin olmak için belirli bir görev belirlemek, satır satır ayrıntılı bir inceleme gerektirir ve arka kapıların mevcut olmadığını garanti etmez. İyi tasarlanmış kötü amaçlı işlevler için test edilmesi zor |
|
13.1.1 |
5.2.6 ve 5.3.9 kapsamındadır |
|
12,3,1 |
ASVS ve CASA'nın 5. bölümünde yer alan (Doğrulama, Temizlik ve Kodlama) mevcut diğer şartların kapsadığı yol geçişi riski |
|
12,3,3 |
5.2.6 ve 5.3.9 kapsamındadır |
|
12,3,6 |
10.3.2 12.4.1 ve 12.4.2 kapsamındadır |
|
12,5,1 |
10.3.2 ve 12.4.2 kapsamındadır |
|
12,5,2 |
10.3.2 12.4.1 ve 12.4.2 kapsamındadır |
|
13,1,5 |
Bu şart, diğer giriş doğrulama şartları kapsamındadır ve doğrulama eksikliği, gerçek bir işletme mantığı güvenlik açığına neden olmuyorsa bu durum daha düşük önem düzeyinde olabilir. Telefon numarasının doğru şekilde doğrulanmamış olması, bilgi sayfasında yalnızca telefon numarasının yanlış şekilde görüntülenmesine neden olur. Bu durum, güvenlikle ilgili doğrudan sonuçlar doğurmaz. |
|
13.2.2 |
Bu şart, diğer giriş doğrulama şartları kapsamındadır ve doğrulama eksikliği, gerçek bir işletme mantığı güvenlik açığına neden olmuyorsa bu durum daha düşük önem düzeyinde olabilir. Telefon numarasının doğru şekilde doğrulanmamış olması, bilgi sayfasında yalnızca telefon numarasının yanlış şekilde görüntülenmesine neden olur. Bu durum, güvenlikle ilgili doğrudan sonuçlar doğurmaz. |
|
13.2.3 |
4.2.2 kapsamında |
|
13,2,5 |
Bu şart, diğer giriş doğrulama şartları kapsamındadır ve doğrulama eksikliği, gerçek bir işletme mantığı güvenlik açığına neden olmuyorsa bu durum daha düşük önem düzeyinde olabilir. Telefon numarasının doğru şekilde doğrulanmamış olması, bilgi sayfasında yalnızca telefon numarasının yanlış şekilde görüntülenmesine neden olur. Bu durum, güvenlikle ilgili doğrudan sonuçlar doğurmaz. |
|
13,3,1 |
Bu şart, diğer giriş doğrulama şartları kapsamındadır ve doğrulama eksikliği, gerçek bir işletme mantığı güvenlik açığına neden olmuyorsa bu durum daha düşük önem düzeyinde olabilir. Telefon numarasının doğru şekilde doğrulanmamış olması, bilgi sayfasında yalnızca telefon numarasının yanlış şekilde görüntülenmesine neden olur. Bu durum, güvenlikle ilgili doğrudan sonuçlar doğurmaz. |
|
14,4,1 |
5.3.1 kapsamında |
|
14,4,2 |
Bu şart, diğer giriş doğrulama şartları kapsamındadır ve doğrulama eksikliği, gerçek bir işletme mantığı güvenlik açığına neden olmuyorsa bu durum daha düşük önem düzeyinde olabilir. Telefon numarasının doğru şekilde doğrulanmamış olması, bilgi sayfasında yalnızca telefon numarasının yanlış şekilde görüntülenmesine neden olur. Bu durum, güvenlikle ilgili doğrudan sonuçlar doğurmaz. |
|
14,4,3 |
5.2.7 ve 5.3.3 kapsamındadır |
|
14,4,5 |
6.2.1 ve 9.2.1 kapsamındadır |
|
14,4,7 |
12.4.1 kapsamında |
|
14,5,3 |
14.5.2 kapsamında |
|
2,1,5 |
2.1.1 kapsamında |
|
2,1,6 |
2.1.1 kapsamında |
|
2.2.3 |
Risk, diğer otomasyon karşıtı kontroller kapsamında olduğundan casa ile alakalı değil |
|
2,5,6 |
başka şifre koruması kapsamında |
|
3.1.1 |
Maruz kalma riski düşük ve ASVS'nin diğer denetimlerinin kapsamındadır |
|
3.2.1 |
Maruz kalma riski düşük ve ASVS'nin diğer denetimlerinin kapsamındadır |
|
3,4,4 |
Maruz kalma riski düşük ve ASVS'nin diğer denetimlerinin kapsamındadır |
|
3,4,5 |
Maruz kalma riski düşük ve ASVS'nin diğer denetimlerinin kapsamındadır |
|
4.2.1 |
13.1.4 kapsamında |
|
5.2.8 |
diğer giriş doğrulama ve temizlik kontrolleri kapsamındadır |
|
5,3,5 |
diğer giriş doğrulama ve temizlik kontrolleri kapsamındadır |
|
7.4.1 |
günlük kayıtlarında yer alır |
|
8.2.3 |
8.1.1 kapsamında |
|
9.1.1 |
6.2.1 ve 9.2.1 kapsamındadır |
|
1.2.3 |
1.1.4, 1.8.4 ve 1.8.2 kapsamındadır |
|
1,4,4 |
1.1.4, 1.8.4 ve 1.8.2 kapsamındadır |
|
1,5,2 |
1.1.4, 1.8.4 ve 1.8.2 kapsamındadır |
|
1,5,3 |
1.1.4, 1.8.4 ve 1.8.2 kapsamındadır |
|
1,5,4 |
1.1.4, 1.8.4 ve 1.8.2 kapsamındadır |
|
1,9,1 |
1.1.4, 1.8.4 ve 1.8.2 kapsamındadır |
|
1.11.3 |
1.1.4, 1.8.4 ve 1.8.2 kapsamındadır |
|
1.14.1 |
1.1.4, 1.8.4 ve 1.8.2 kapsamındadır |
|
1.14.2 |
1.1.4, 1.8.4 ve 1.8.2 kapsamındadır |
|
1.14.3 |
1.1.4, 1.8.4 ve 1.8.2 kapsamındadır |
|
1.14.4 |
1.1.4, 1.8.4 ve 1.8.2 kapsamındadır |
|
1,14,5 |
1.1.4, 1.8.4 ve 1.8.2 kapsamındadır |
|
1,14,6 |
1.1.4, 1.8.4 ve 1.8.2 kapsamındadır |
|
6.1.2 |
6.1.1 kapsamında |
|
6.1.3 |
6.1.1 kapsamında |
|
2.10.2 |
2.5.4 kapsamında |
|
2.2.1 |
11.1.4 kapsamında |
|
2,7,3 |
2.7.2 sürümü kapsamında |
|
2,7,4 |
2.7.2 sürümü kapsamında |
|
5.1.2 |
Otomasyon Koruması kapsamındadır |
|
6.2.2 |
onaylı şifreleme algoritmaları tanımlanmadı |
|
8.2.1 |
8.1.1 kapsamında |
|
9.1.2 |
9.2.1 kapsamında |
|
9.1.3 |
9.2.1 kapsamında |
|
5.5.1 |
1.8.2 kapsamında |
|
14.2.1 |
1.14.6 kapsamında |
|
3,3,4 |
Bu durum, durum bilgisiz AuthN/Z kullanan uygulamalar için geçerli değildir. NCC Group'un içeriği kaldırma önerisini kabul edin. Bu içerik 3.3.3 kapsamında olmalıdır |
-
Aşağıdaki şartlar eklendi:
|
istek_kimliği |
Açıklama |
|
1,1,4 |
Uygulamanın tüm güven sınırları, bileşenleri ve önemli veri akışlarının dokümanlarını ve gerekçelerini doğrulayın. |
|
1,8,1 |
Tüm hassas verilerin tanımlandığını ve koruma seviyelerinde değerlendirildiğini doğrulayın |
|
1,8,2 |
Tüm koruma seviyelerinin ilişkili şifreleme gereksinimleri, bütünlük gereksinimleri, saklama, gizlilik ve diğer gizlilik şartları gibi koruma gereksinimleri olduğunu ve bunların şu koşulları karşıladığını doğrulayın: kullanabilirsiniz. |
|
2.1.1 |
Kullanıcı tarafından belirlenen şifrelerin en az 12 karakter uzunluğunda olduğunu doğrulayın |
|
2,5,4 |
Paylaşılan veya varsayılan hesapların olmadığını doğrulayın (ör. "kök", "yönetici" veya "sa"). |
|
4.2.1 |
Hassas verilerin ve API'lerin güvenli olmayan Doğrudan Nesne Referansı (IDOR) saldırılarına karşı korunduğunu doğrulayın. Bu tür kayıtlar; kayıt oluşturma, okuma, güncelleme ve silme gibi işlemleri (ör. başka bir kişinin kaydını oluşturma veya güncelleme, herkesin kayıtlarını görüntüleme veya tüm kayıtları silme) hedefler. |
|
1,14,6 |
Uygulamanın desteklenmeyen, güvenli olmayan veya kullanımdan kaldırılmış olmadığını doğrulayın NSAPI eklentileri, Flash, Shockwave, ActiveX gibi istemci tarafı teknolojiler Silverlight, NACL veya istemci taraflı Java applet'leri. |