电子工业出版社-网上书店

本书系统性地介绍了OWASP安全组织研究总结的应用安全验证标准，为软件开发过程中的安全控制措施开发提供直接指导与必要参考。全书分为两大部分：第一部分介绍了应用安全验证要求的使用方法和参考案例。第二部分详细介绍了19项安全控制措施的验证要求，并针对每种安全验证介绍了不同级别的控制目标和详细要求。本书旨在帮助相关软件开发企业机构和团队提升有关应用软件安全开发的相关意识；并在应用软件设计、开发和测试过程中，能明确对功能性和非功能性安全控制的要求。本书适合软件开发企业的管理人员和执行人员，从事软件安全开发相关的专业人员，以及高等院校软件工程、信息安全、信息管理等专业的研究生、本科生学习和参考。

第一篇  ASVS概述
第1章  使用应用安全验证标准	2
1.1  应用安全验证级别	3
1.2  如何使用这个标准	4
1.3  在实践中应用ASVS	7
第2章 评估软件是否达到验证水平	10
2.1  使用指导	11
2.2  自动渗透测试工具的作用	12
2.3  渗透测试的作用	12
2.4  用作详细的安全架构指导	13
2.5  用作现有安全编码清单的替代	13
2.6  用作自动化单元和集成测试指南	14
2.7  用作安全开发培训	14
 
第二篇  ASVS详解
第3章  V1：架构、设计和威胁建模	16
3.1  控制目标	17
3.2  验证要求	17
3.3  参考文献	19
第4章  V2：认证	20
4.1  控制目标	21
4.2  验证要求	21
4.3  参考文献	24
第5章  V3：会话管理	26
5.1  控制目标	27
5.2  验证要求	27
5.3  参考文献	29
第6章  V4：访问控制	30
6.1  控制目标	31
6.2  验证要求	31
6.3  参考文献	33
第7章  V5：恶意输入处理	34
7.1  控制目标	35
7.2  验证要求	35
7.3  参考文献	38
第8章  V6：密码学安全	40
8.1  控制目标	41
8.2  验证要求	41
8.3  参考文献	43
第9章  V7：错误处理和日志记录	44
9.1  控制目标	45
9.2  验证要求	46
9.3  参考文献	48
第10章  V8：数据保护	49
10.1  控制目标	50
10.2  验证要求	51
10.3  参考文献	52
第11章  V9：通信安全	53
11.1  控制目标	54
11.2  验证要求	54
11.3  参考文献	56
第12章  V10：HTTP安全配置	58
12.1  控制目标	59
12.2  验证要求	59
12.3  参考文献	60
第13章  V11：恶意控件	62
13.1  控制目标	63
13.2  验证要求	63
13.3  参考文献	64
第14章  V12：业务逻辑	65
14.1  控制目标	66
14.2  验证要求	66
14.3  参考文献	67
第15章  V13：文件和资源	68
15.1  控制目标	69
15.2  验证要求	69
15.3  参考文献	70
第16章  V14：移动应用程序	71
16.1  控制目标	72
16.2  验证要求	72
16.3  参考文献	74
第17章  V15：Web服务	75
17.1  控制目标	76
17.2  验证要求	76
17.3  参考文献	78
第18章  V16：安全配置	79
18.1  控制目标	80
18.2  验证要求	80
18.3  参考文献	81
 
第三篇  ASVS实践案例分析
第19章  ASVS的实践案例	83
19.1  案例1：作为安全测试指南使用	84
19.2  案例2：作为SDLC的实施指导	86
附  录
附录A  名词解释	89
附录B  参考文献	95
附录C  标准映射	97
附录D  ASVS术语表	99
附录E  采用ASVS的OWASP项目	104
附录F  OWASP安全编码规范快速参考指南	106

序1

关于标准
本书是根据《OWASP应用程序安全验证标准》翻译编写的。《OWASP应用程序安全验证标准》是架构师、开发人员、测试人员、安全专业人员及用户可以使用的应用程序安全性要求或测试的列表，以定义安全的应用程序。
版权和许可证
版权所有?2008—2016 OWASP基金会。本文档依照《知识共享署名授权许可协议3.0》发布。对于任何重用或分发，必须向他人明确这项工作的许可条款。
 
发布历史
第3.0.1版《OWASP应用程序安全验证标准》发布于2016年，该项目由Daniel Cuthbert和Andrew van der Stock领导。
? 2014年8月，第2.0版《OWASP应用程序安全验证标准》发布。
? 2015年9月，第3.0版《OWASP应用程序安全验证标准》发布。
? 2016年6月，第3.0.1版《OWASP应用程序安全验证标准》发布。
2015年第3.0版的贡献者
项目负责人	主要作者	贡献者和审稿人
Andrew van der Stock
Daniel Cuthbert	Jim Manico	Abhinav Sejpal
Ari Kes?niemi
Boy Baukema
Colin Watson
Cristinel Dumitru
David Ryan
Fran?ois-Eric Guyomarc’h
Gary Robinson
Glenn Ten Cate
James Holland
Martin Knobloch
Raoul Endres
Ravishankar S
Riccardo Ten Cate
Roberto Martelloni
Ryan Dewhurst
Stephen de Vries
Steven van der Baan

 
2014年第2.0版的贡献者
项目负责人	主要作者	贡献者和审稿人
Daniel Cuthbert
Sahba Kazerooni	Andrew van der Stock
Krishna Raja	Antonio Fontes
Archangel Cuison
Ari Kes?niemi
Boy Baukema
Colin Watson
Dr Emin Tatli
Etienne Stalmans
Evan Gaustad
Jeff Sergeant
Jerome Athias
Jim Manico
Mait Peekma
Pekka Sillanp??
Safuat Hamdy
Scott Luc
Sebastien Deleersnyder
2009年第1.0版的贡献者
项目负责人	主要作者	贡献者和审稿人
Mike Boberski	
Jeff Williams	
Dave Wichers	Jim Manico	Andrew van der Stock	
Barry Boyd
Bedirhan Urgun	
Colin Watson	
Dan Cornell	
Dave Hausladen	
Dave van Stein	
Dr. Sarbari Gupta	
Dr. Thomas Braun	
Eoin Keary	
Gaurang Shah	
George Lawless	
Jeff LoSapio	
Jeremiah Grossman	
John Martin	
John Steven	
续表
项目负责人	主要作者	贡献者和审稿人
		Ken Huang
Ketan Dilipkumar Vyas
Liz Fong	Shouvik Bardhan
Mandeep Khera 	
Matt Presson	
Nam Nguyen	
Paul Douthit	
Pierre Parrend
Richard Campbell
Scott Matsumoto
Stan Wisseman
Stephen de Vries
Steve Coyle
Terrie Diaz
Theodore Winograd

 
序2

欢迎使用《OWASP应用程序安全验证标准（ASVS）》第3.0.1版。ASVS是通过OWASP团队努力建立而成的安全要求和控制框架，其侧重于在应用程序设计、开发和测试时所需的功能和非功能安全控制。
本版本被认为是识别和采用的最佳实践经验。这将有助于新兴标准计划采用ASVS中的内容，同时协助现有的企业学习他人的经验。
OWASP ASVS项目组预计这个标准可能永远不会达到100%的完善并被认同。风险分析在某种程度上是主观的，这在尝试以适合所有标准的尺度进行泛化时，会产生挑战。但是，OWASP ASVS项目组希望本版本的最新更新是朝着正确的方向迈出的一步，并期望能为行业引入这一重要的概念。
第3.0.1版有什么新功能
（1）在第3.0.1版本中，ASVS增加了几个部分，包括配置、Web服务等，使本标准更适用于现代应用，如HTML5前端或移动客户端、使用SAML身份验证来调用一组RESTful Web服务。
（2）为确保使用人员不需要多次重复验证相同的项目，第3.0.1版ASVS删除了重复的标准。
第3.0.1版ASVS提供了一个映射到CWE常见弱点的枚举（CWE）字典。CWE映射可以用于识别信息利用的可能性，成功地利用这一结果。广义地说，如果不使用或实施安全控制及如何缓解弱点，那么还可以洞悉将来有可能出现的问题。
最后，在2015年OWASP AppSec欧洲大会期间，OWASP ASVS项目组与其他项目组、专家进行了评审，并在2015年的OWASP AppSec美国大会进行了最后的工作会议，纳入大量反馈意见。OWASP ASVS项目组希望读者能找到对本书有用的更新，并以项目组所能想象的方式使用它。
 

前 言

背景
2016年和2017年是我国网络安全行业飞速发展的两年。自2016年年底至2017年，国家先后发布并实施《网络空间安全战略》《网络安全法》《关于加强网络安全学科建设和人才培养的意见》等涉及网络安全方面的法律法规和政策文件。同时，“WannCry勒索病毒”“Structs2漏洞”“Office高危漏洞”等这样的全球性网络安全事件也不时刺痛着人们的神经。越来越多的网络安全研究机构、软件研发机构、专家学者逐渐认识到“没有软件安全，就没有网络安全”“安全不仅是网络安全专家的责任，更是每个软件开发从业人员的责任”。
那么，软件研发机构如何开发出安全的应用程序呢？安全的应用程序应该符合哪些标准呢？软件研发机构需要验证应用程序的哪些方面呢？本书是在这样的背景下翻译出版的。
 
ASVS简介
“OWASP应用程序安全验证标准（ASVS）”项目是OWASP全球安全组织的成功项目之一。该项目的主旨如下：为执行Web应用程序安全验证提供一套可行的标准，以规范应用程序的安全验证覆盖范围和安全级别。该项目的研究成果，即《OWASP应用程序安全验证标准（ASVS）》，最新版本为第3.0.1版。
该成果不仅为Web应用程序技术安全控制提供了测试参考标准，还为应用程序开发人员提供了一系列安全开发需求建议。为测试应用程序技术安全控制及依赖于测试环境中的任何技术安全控制提供了参考依据，以消除应用程序受到跨站脚本（XSS）、SQL注入等软件安全威胁的影响。此外，该成果还可用于标识应用程序的安全信任级别。
该成果可根据读者或使用人员的需要，作为度量标准、安全指导和采购要求。
（1）度量标准：为应用程序开发人员和应用程序所有者提供一个参考标准，以评估应用程序的可信任程度。
（2）安全指导：为应用程序中安全控制的开发人员提供有关构建安全控制的指导建议，以满足应用程序的安全开发需求。
（3）采购要求：为应用程序的采购合同，提供应用程序安全验证需求的参考标准。
读者对象
本书的主要读者对象包括但不限于：
（1）软件研发组织机构的技术专业负责人和项目主管。
（2）软件安全开发服务咨询与验证的相关人员。
（3）网络安全基础核心领域研究的专家学者。
（4）高等院校软件工程专业和网络安全专业的教育工作者。
（5）对软件安全开发感兴趣的个人。
内容结构
本书分为3篇，共19章。第一篇由第1、2章组成，对ASVS及其评估软件的使用方式进行了介绍。第二篇由第3～18章组成，分别介绍了16类验证关键点。第三篇由第19章组成，表述了ASVS的实践案例。
全书由王颉负责总体架构设计和质量控制，由Rip、张家银担任翻译顾问，由包悦忠、李旭勤负责技术指导。第1章由王颉翻译，第2章由王厚奎翻译，第3～10章由王厚奎和吴楠共同翻译，第11～18章由吴楠翻译，第19章及附录由王厚奎翻译。全文由赵学文负责统稿与编排。
致谢
特别感谢OWASP总部对OWASP中国组织本中文版ASVS相关工作予以的支持。
感谢OWASP中国和SecZone自OWASP Application Security Verification Standard（V2.0）发布以来对该项目持续的跟进、翻译、研究与分享。同时，也对该项目的参与人员表示感谢。
OWASP中国将对OWASP ASVS项目保持跟进，持续完善和深化本书。


中文版说明
（1）本书为OWASP Application Security Verification Standard（V3.0.1）的中文版。本书尽量保留原版本的格式与风格，但部分语言风格调整为中文表述。其中存在的差异，敬请谅解。
（2）为方便读者阅读和理解本书中的内容，本书对原英文版中明确内容为空的章节进行了删除，并对原英文版中的部分章节内容进行了顺序调整，致使本书的章节编号与原英文版中的章节编号不同。
（3）本书中的表格包含每条描述项的序号，以及其在原英文版中的原描述项序号，以方便读者进行匹配。
（4）由于译者团队水平有限，存在的错误敬请指正。
（5）如果您有关于本书的任何意见或建议，可以通过以下方式联系我们：
邮箱：project@owasp.org.cn

中文版工作团队成员简介：（按姓氏拼音顺序排序）
Rip
OWASP中国主席
OWASP S-SDLC项目、OWASP中文项目、OWASP中国各项目发起人，超过15年的安全领域从业经验，资深安全专家。

包悦忠
OWASP中国副主席
加拿大滑铁卢大学应用科学硕士。曾任职亚马逊（中国）首席信息安全官、微软可信赖计算部总监。长期在北美和中国高科技软件和互联网公司从事信息安全管理、软件安全开发及相关流程体系建设。微软内部认证SDL讲师，曾负责为中国政府、电信和金融等行业大客户提供软件安全评估、SDL培训及流程实施方面的咨询服务，帮助客户利用SDL的方法和实践，通过在软件开发生命周期过程中融入必要的安全活动，整体提高软件和应用的安全性。先后参与“OWASP Top 10”“OWASP安全测试指南”等多个OWASP中国分部项目。

 
李绪勤
英国华威大学博士，长期关注金融业务风险、金融风险等领域。拥有超过10年IT工作经验和信息安全实践经验。

王厚奎
OWASP中国广西区域负责人
南宁职业技术学院信息工程学院 副教授
硕士研究生，持有CISP（CISO）、NISP、网络规划设计师、初级等保测评师、NSACE网络信息安全讲师等资质证书，并取得中国信息安全测评中心颁发的CISI讲师资格。中国计算机学会会员、广西信息安全学会会员。拥有14年IT工作经验，8年信息安全实践经验和培训教学经验，涉及网络管理、信息安全与风险管理、信息产品安全管理、信息安全省级项目调研等多个方面。自2010年加入OWASP组织和OWASP中国分部以来，先后参与了“OWASP Top 10”“OWASP Cheat Sheets”“OWASP Hacking-Lab”等多个应用安全研究项目。

王颉
OWASP中国副主席
OWASP中国成都区域负责人
深圳开源互联网安全技术有限公司  副总经理
英国拉夫堡大学网络安全博士。长期从事企业信息体系建设落地和软件开发全生命周期研究工作，具有丰富的信息安全学术研究和资深的企业信息化建设实践经验。自2009年加入OWASP组织和OWASP中国分部以来，曾参与了“OWASP中文项目”和“OWASP S-SDLC项目”两个OWASP全球项目，并先后主持、参与和独立开展了“OWASP Top 10”“OWASP OpenSAMM”“OWASP安全编码规范快速参考指南”“OWASP安全测试指南”等多个OWASP中国分部项目，为在国内提高OWASP安全组织的影响力、提升OWASP研究成果的实用性和适用性做出了重要贡献。

吴楠
OWASP中国辽宁区域负责人
大连银行 高级信息安全顾问
长期从事信息安全体系建设、银行业安全合规建设、S-SDLC的研究工作，并深入项目实施安全代码审计。在从事信息安全工作前，曾多年从事全生命周期的软件开发及项目管理工作。获得CISP、PMP、ISO 27001 IA、ISO 22301、Risk Mangement、CWASP L2安全专家、国家软件工程师、C-CCSK、ITIL等认证资质。自2015年加入OWASP组织和OWASP中国分部以来，先后参与了“OWASP Top 10”“OWASP Cheat Sheets”“OWASP Code Review”等应用安全项目，并从中积累了宝贵的经验。

张家银
OWASP S-SDLC项目主要负责人
安徽开源互联网安全技术有限公司 总经理
拥有15年安全领域从业经验，资深S-SDLC专家。对软件安全开发流程、安全架构设计、应用安全解决方案、安全测试，以及应用安全扫描工具原理与设计有深入的研究与实践经验，曾主导完成全球最大云安全产品（年用户数7+亿人次）的S-SDLC全流程及落地。

赵学文
OWASP中国会员
“注册软件安全开发人员（CWASP CSSD）”认证持有者。自2017年加入OWASP中国分部以来，先后参与了OWASP中国组织的“OWASP Top 10 2017”“OWASP SAMM”“OWASP Cheat Sheets”“OWASP Code Review”等中文项目，为应用软件技术的研究与推广做出了积极项献。

计算机-网络安全

OWASP是一个开源的、非盈利的全球性安全组织，致力于应用软件的安全研究，在业界具有一流的影响力和权威性。作为OWASP面向中国的区域分支，OWASP中国自2006年正式启动，目前已拥有来自互联网安全专业领域和政府、电信、金融、教育等相关领域的会员5000多名，形成了强大的专业技术实力和行业资源聚集能力，有力推动了安全标准、安全测试工具、安全指导手册等应用安全技术在中国的发展，成为了积极推动中国互联网安全技术创新、人才培养和行业发展的中坚力量。__eol__作为OWASP中国的运营中心，互联网安全研究中心（Security Zone，简称SecZone）是国内首个独立、开源的互联网安全研究机构。中心始终秉持引入、吸收、创新的发展宗旨，专注于互联网安全前沿技术和OWASP项目的深度研究，常年组织开展各类开源培训及沙龙活动，致力于通过对国内外技术、资源的整合、应用和创新，更好地服务业界同仁、服务行业发展，更有力地推动国内互联网安全技术的进步与升级。

本书配套资源下载

对不起，暂无音视频资源！

软件安全开发指南——应用软件安全级别验证参考标准