我们正在研究一个符合OWASP ASVS清单所需的ASP.NET项目。该术语之一是" 验证后端TLS连接失败已记录。"我找不到实现这一目标的方法,但客户却将我们拒之门外。有什么建议/参考吗?示例代码会更好。
这是OWASP事物的链接:http://code.google.com/p/owasp-asvs/wiki/verification_v10
预先感谢。
我同意这是错误的。目前有ASV的改革。来吧,帮助我们使事情变得更具体和可测试。
在您的实例中,TLS连接通常由操作系统代表应用程序和库代码维护,这很少有任何真正的努力来使TLS连接是在TIN上所说的。浏览器在警告用户方面越来越好,但是图书馆令人震惊,应用程序使他们在检查端到端错误并就连接状态做出明智的安全决策时更糟。即使是诸如证书撤销的基本事物也应该是不介意的,但是默认情况下,很少有库可以实现这一目标。
我们每天在手机应用程序中看到这一点 - 通过MITM代理连接大多数移动应用程序是微不足道的,这些应用程序无法提供任何用户反馈,即连接不可信。
我想看到这个要求是:
"用户代理软件(移动应用程序,浏览器,Web服务,库)必须用他们可以轻易理解连接不可信的术语向最终用户清楚地表明,此外,拒绝该连接,或者要求用户干预到建立不安全的连接。应该记录这种故障或不安全的连接。"
这将确保 - 无论是操作系统,库还是应用程序 - 有人拥有此互动,并且具有明确的安全性目标(没有不受信任的连接),一种有利于安全性的可用性控制,最后是一个检测控制以允许用户做出极差的选择(因为我们知道他们总是有机会),以便允许发生前监视和固定后重建。
)。我知道这本身不会回答您的问题,但是您不会提及您是否使用OpenSSL或WCF或...如果您让我知道您的平台,我很乐意为代码段贡献'd喜欢。