Hva er rollen til ASVS i webapplikasjon sikkerhetstesting og 3 nivåer

OWASP Application Security Verification Standard (ASVS) Project gir et grunnlag for testing av nettapplikasjons tekniske sikkerhetskontroller og gir også utviklere en liste over krav for sikker utvikling.

Hovedmålet med OWASP Application Security Verification Standard (1ASVS) Project er å normalisere rekkevidden i dekning og strenghetsnivå som er tilgjengelig på markedet når det gjelder å utføre sikkerhetsverifisering av nettapplikasjoner ved å bruke en kommersielt brukbar åpen standard. Standarden gir grunnlag for å teste applikasjonstekniske sikkerhetskontroller, samt eventuelle tekniske sikkerhetskontroller i miljøet, som er basert på for å beskytte mot sårbarheter som Cross-Site Scripting (XSS) og SQL-injeksjon. Denne standarden kan brukes til å etablere et nivå av tillit til sikkerheten til webapplikasjoner. Kravene ble utviklet med følgende mål i tankene:

Bruk som en beregning – Gi applikasjonsutviklere og applikasjonseiere en målestokk for å vurdere graden av tillit som kan settes til deres nettapplikasjoner,
Bruk som veiledning – Gi veiledning til utviklere av sikkerhetskontroll om hva som skal bygges inn i sikkerhetskontroller for å tilfredsstille kravene til applikasjonssikkerhet, og
Bruk under anskaffelse – Gi grunnlag for å spesifisere krav til applikasjonssikkerhetsverifisering i kontrakter.

ASVS nivå 1 grunnleggende
ASVS nivå 1 er relevant for applikasjoner som ikke handler med sensitiv informasjon og som er mindre utsatt for angrep. Hver applikasjon må overholde de grunnleggende sikkerhetsstandardene som er angitt i ASVS nivå 1. Dette nivået skisserer sikkerhetskontroller som er utformet for å beskytte mot kjente sårbarheter. Sikkerhetstiltakene som er oppført på dette nivået er penn-testbare og integrasjonstestbare. Nivå 1 passer for små og mellomstore bedrifter som ikke står overfor store sikkerhetsrisikoer.

ASVS nivå 2 standard
Nivå 2-retningslinjer gjelder for applikasjoner som utfører business-to-business transaksjoner. Å følge disse retningslinjene vil hjelpe apputviklere med å sikre applikasjonene sine mot illegitim tilgang, injeksjonsfeil, validerings- og autentiseringsfeil. ASVS Level 2 Standard sikrer at tiltakene som iverksettes er i tråd med sårbarhetene og truslene som utgjør en risiko for applikasjonen i fokus. ASVS nivå 2 anbefales av sikkerhetseksperter for å beskytte de fleste applikasjoner. Testing på dette nivået krever tilgang til kildekode, dokumentasjon, konfigurasjon samt personer involvert i utviklingen.

ASVS nivå 3 avansert
Apper som omhandler svært sensitiv informasjon må overholde ASVS Level 3 Advanced. Eksempler på slike applikasjoner inkluderer helsetjenester, forsvar, finans, apper for juridisk dokumenthåndtering blant andre. For å oppfylle kravene til nivå 3, må apputviklere bygge inn sikkerhetslag i applikasjonen helt fra de tidligere stadiene. I tillegg må all sikkerhetsinnsats dokumenteres og revideres.2 – OWASP Application Security Verification Standard 4.0-en.docx

Sources / Kilder:

  • 1
    ASVS
  • 2
    – OWASP Application Security Verification Standard 4.0-en.docx

Leave a Comment