gpt4 book ai didi

asp.net - OWASP ASVS V10.4 验证是否记录了后端 TLS 连接失败 ---- 如何?

转载 作者:太空宇宙 更新时间:2023-11-03 13:18:33 31 4
gpt4 key购买 nike

我们正在开发一个需要遵守 OWASP ASVS list 的 ASP.NET 项目。其中一个术语是“验证后端 TLS 连接失败是否已记录。”我找不到实现此目的的方法,但客户坚持这样做。有什么建议/引用吗?示例代码会更好。

这是 owasp 的链接: http://code.google.com/p/owasp-asvs/wiki/Verification_V10

提前致谢。

最佳答案

我同意这句话措辞不当。目前对 ASVS 进行了改造。过来帮助我们使事情更具体和可测试。

在您的实例中,TLS 连接通常由操作系统代表应用程序和库代码维护,这些代码很少(如果有的话)真正努力验证 TLS 连接是否如它所说的那样。浏览器在警告他们的用户方面做得越来越好,但是库和调用它们的应用程序在检查端到端错误和对连接状态做出明智的安全决策方面表现得非常糟糕。即使是像证书吊销这样的基本事情也应该是轻而易举的事,但很少有库默认启用它。

我们每天都在手机应用程序中看到这种情况 - 让大多数移动应用程序通过 MITM 代理连接是微不足道的,这些代理不提供任何用户反馈连接不可信。

我希望这个要求是:

“用户代理软件(移动应用程序、浏览器、网络服务、库)必须以最终用户容易理解的方式向最终用户明确表示连接不可信,并进一步拒绝连接,或要求用户干预以建立不安全的连接。应记录此类失败或不安全的连接。”

这将确保 - 无论是操作系统、库还是应用程序 - 有人拥有此交互,并且具有明确的安全目标(没有不受信任的连接)、有利于安全的可用性控制,最后是检测控制允许在用户做出非常糟糕的选择时进行事件前监控和事件后重建(因为我们知道他们总是有机会这样做)。

我知道这本身并不能回答您的问题,但您没有提及您使用的是 OpenSSL 还是 WCF 或...如果您让我知道您使用的平台,我很乐意提供代码片段我喜欢。

关于asp.net - OWASP ASVS V10.4 验证是否记录了后端 TLS 连接失败 ---- 如何?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/12958060/

31 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com