我们正在开发一个 ASP.NET 项目,该项目需要遵守 OWASP ASVS 检查表。其中一个术语是“验证是否记录了后端 TLS 连接失败。”我找不到实现此目的的方法,但客户要求我们这样做。有什么建议/引用吗?示例代码会更好。
这是 owasp 的链接: http://code.google.com/p/owasp-asvs/wiki/Verification_V10
提前致谢。
最佳答案
我同意这措辞很糟糕。目前正在对 ASVS 进行改造。过来帮助我们让事情变得更加具体和可测试。
在您的实例中,TLS 连接通常由操作系统代表应用程序和库代码维护,这些代码很少(如果有的话)做出任何真正的努力来验证 TLS 连接是否如其所言。浏览器在警告用户方面做得越来越好,但库却非常糟糕,而应用程序则在检查端到端错误和对连接状态做出明智的安全决策方面表现更差。即使像证书吊销这样的基本事情也应该是理所当然的,但很少有库默认启用此功能。
我们每天都会在手机应用程序中看到这种情况 - 让大多数移动应用程序通过 MITM 代理进行连接是微不足道的,而这些代理不会提供任何连接不可信的用户反馈。
我希望看到这个要求:
“用户代理软件(移动应用程序、浏览器、网络服务、库)必须向最终用户明确表示,他们可以轻松理解该连接是不可信的,并且拒绝该连接,或者要求用户干预建立不安全的连接。应记录此类失败或不安全的连接。”
这将确保 - 无论是操作系统、库还是应用程序 - 有人拥有此交互,并且具有明确的安全目标(没有不受信任的连接)、有利于安全的可用性控制,最后是检测控制允许在用户做出非常糟糕的选择时进行事件前监控和事件后重建(因为我们知道只要有机会他们总是会这样做)。
我知道这本身并不能回答您的问题,但您没有提及您是否使用 OpenSSL 或 WCF 或...如果您让我知道您使用的平台,我很乐意提供代码片段我喜欢。
关于asp.net - OWASP ASVS V10.4 验证是否记录了后端 TLS 连接失败 ---- 如何?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/12958060/