軟件安全開發(fā)指南：應用軟件安全級別驗證參考標準

第一篇 ASVS概述
第1章 使用應用安全驗證標準\t2
1．1 應用安全驗證級別\t3
1．2 如何使用這個標準\t4
1．3 在實踐中應用ASVS\t7
第2章 評估軟件是否達到驗證水平\t10
2．1 使用指導\t11
2．2 自動滲透測試工具的作用\t12
2．3 滲透測試的作用\t12
2．4 用作詳細的安全架構指導\t13
2．5 用作現有安全編碼清單的替代\t13
2．6 用作自動化單元和集成測試指南\t14
2．7 用作安全開發(fā)培訓\t14
第二篇 ASVS詳解
第3章 V1：架構、設計和威脅建模\t16
3．1 控制目標\t17
3．2 驗證要求\t17
3．3 參考文獻\t19
第4章 V2：認證\t20
4．1 控制目標\t21
4．2 驗證要求\t21
4．3 參考文獻\t24
第5章 V3：會話管理\t26
5．1 控制目標\t27
5．2 驗證要求\t27
5．3 參考文獻\t29
第6章 V4：訪問控制\t30
6．1 控制目標\t31
6．2 驗證要求\t31
6．3 參考文獻\t33
第7章 V5：惡意輸入處理\t34
7．1 控制目標\t35
7．2 驗證要求\t35
7．3 參考文獻\t38
第8章 V6：密碼學安全\t40
8．1 控制目標\t41
8．2 驗證要求\t41
8．3 參考文獻\t43
第9章 V7：錯誤處理和日志記錄\t44
9．1 控制目標\t45
9．2 驗證要求\t46
9．3 參考文獻\t48
第10章 V8：數據保護\t49
10．1 控制目標\t50
10．2 驗證要求\t51
10．3 參考文獻\t52
第11章 V9：通信安全\t53
11．1 控制目標\t54
11．2 驗證要求\t54
11．3 參考文獻\t56
第12章 V10：HTTP安全配置\t58
12．1 控制目標\t59
12．2 驗證要求\t59
12．3 參考文獻\t60
第13章 V11：惡意控件\t62
13．1 控制目標\t63
13．2 驗證要求\t63
13．3 參考文獻\t64
第14章 V12：業(yè)務邏輯\t65
14．1 控制目標\t66
14．2 驗證要求\t66
14．3 參考文獻\t67
第15章 V13：文件和資源\t68
15．1 控制目標\t69
15．2 驗證要求\t69
15．3 參考文獻\t70
第16章 V14：移動應用程序\t71
16．1 控制目標\t72
16．2 驗證要求\t72
16．3 參考文獻\t74
第17章 V15：Web服務\t75
17．1 控制目標\t76
17．2 驗證要求\t76
17．3 參考文獻\t78
第18章 V16：安全配置\t79
18．1 控制目標\t80
18．2 驗證要求\t80
18．3 參考文獻\t81
第三篇 ASVS實踐案例分析
第19章 ASVS的實踐案例\t83
19．1 案例1：作為安全測試指南使用\t84
19．2 案例2：作為SDLC的實施指導\t86
附 錄
附錄A 名詞解釋\t89
附錄B 參考文獻\t95
附錄C 標準映射\t97
附錄D ASVS術語表\t99
附錄E 采用ASVS的OWASP項目\t104
附錄F OWASP安全編碼規(guī)范快速參考指南\t106