第一篇 ASVS概述 2
第1章 使用应用安全验证标准 2
1.1 应用安全验证级别 3
1.2 如何使用这个标准 4
1.3 在实践中应用ASVS 7
第2章 评估软件是否达到验证水平 10
2.1 使用指导 11
2.2 自动渗透测试工具的作用 12
2.3 渗透测试的作用 12
2.4 用作详细的安全架构指导 13
2.5 用作现有安全编码清单的替代 13
2.6 用作自动化单元和集成测试指南 14
2.7 用作安全开发培训 14
第二篇 ASVS详解 16
第3章 V1:架构、设计和威胁建模 16
3.1 控制目标 17
3.2 验证要求 17
3.3 参考文献 19
第4章 V2:认证 20
4.1 控制目标 21
4.2 验证要求 21
4.3 参考文献 24
第5章 V3:会话管理 26
5.1 控制目标 27
5.2 验证要求 27
5.3 参考文献 29
第6章 V4:访问控制 30
6.1 控制目标 31
6.2 验证要求 31
6.3 参考文献 33
第7章 V5:恶意输入处理 34
7.1 控制目标 35
7.2 验证要求 35
7.3 参考文献 38
第8章 V6:密码学安全 40
8.1 控制目标 41
8.2 验证要求 41
8.3 参考文献 43
第9章 V7:错误处理和日志记录 44
9.1 控制目标 45
9.2 验证要求 46
9.3 参考文献 48
第10章 V8:数据保护 49
10.1 控制目标 50
10.2 验证要求 51
10.3 参考文献 52
第11章 V9:通信安全 53
11.1 控制目标 54
11.2 验证要求 54
11.3 参考文献 56
第12章 V10:HTTP安全配置 58
12.1 控制目标 59
12.2 验证要求 59
12.3 参考文献 60
第13章 V11:恶意控件 62
13.1 控制目标 63
13.2 验证要求 63
13.3 参考文献 64
第14章 V12:业务逻辑 65
14.1 控制目标 66
14.2 验证要求 66
14.3 参考文献 67
第15章 V13:文件和资源 68
15.1 控制目标 69
15.2 验证要求 69
15.3 参考文献 70
第16章 V14:移动应用程序 71
16.1 控制目标 72
16.2 验证要求 72
16.3 参考文献 74
第17章 V15:Web服务 75
17.1 控制目标 76
17.2 验证要求 76
17.3 参考文献 78
第18章 V16:安全配置 79
18.1 控制目标 80
18.2 验证要求 80
18.3 参考文献 81
第三篇 ASVS实践案例分析 83
第19章 ASVS的实践案例 83
19.1 案例1:作为安全测试指南使用 84
19.2 案例2:作为SDLC的实施指导 86
附录 89
附录A 名词解释 89
附录B 参考文献 95
附录C 标准映射 97
附录D ASVS术语表 99
附录E 采用ASVS的OWASP项目 104
附录F OWASP安全编码规范快速参考指南 106