本書繫統性地介紹了OWASP安全組織研究總結的應用安全驗證標準，為軟件開發過程中的安全控制措施開發提供直接指導與必要參考。全書分為兩大部分：第一部分介紹了應用安全驗證要求的使用方法和參考案例。第二部分詳細介紹了19項安全控制措施的驗證要求，並針對每種安全驗證介紹了不同級別的控制目標和詳細要求。本書旨在幫助相關軟件開發企業機構和團隊提升有關應用軟件安全開發的相關意識；並在應用軟件設計、開發和測試過程中，能明確對功能性和非功能性安全控制的要求。

本書適合軟件開發企業的管理人員和執行人員，從事軟件安全開發相關的專業人員，以及高等院校軟件工程、信息安全、信息管理等專業的研究生、本科生學習和參考。

OWASP是一個開源的、非盈利的全球性安全組織，致力於應用軟件的安全研究，在業界具有一流的影響力和權威性。作為OWASP面向中國的區域分支，OWASP中國自2006年正式啟動，目前已擁有來自互聯網安全專業領域和政府、電信、金融、教育等相關領域的會員5000多名，形成了強大的專業技術實力和行業資源聚集能力，有力推動了安全標準、安全測試工具、安全指導手冊等應用安全技術在中國的發展，成為了積極推動中國互聯網安全技術創新、人纔培養和行業發展的中堅力量。 作為OWASP中國的運營中心，互聯網安全研究中心（Security Zone，簡稱SecZone）是國內首個獨立、開源的互聯網安全研究機構。中心始終秉持引入、吸收、創新的發展宗旨，專注於互聯網安全前沿技術和OWASP項目的深度研究，常年組織開展各類開源培訓及沙龍活動，致力於通過對國內外技術、資源的整合、應用和創新，更好地服務業界同仁、服務行業發展，更有力地推動國內互聯網安全技術的進步與升級。

第一篇 ASVS概述
第1章 使用應用安全驗證標準 2
1.1 應用安全驗證級別 3
1.2 如何使用這個標準 4
1.3 在實踐中應用ASVS 7
第2章 評估軟件是否達到驗證水平 10
2.1 使用指導 11
2.2 自動滲透測試工具的作用 12
2.3 滲透測試的作用 12
2.4 用作詳細的安全架構指導 13
2.5 用作現有安全編碼清單的替代 13
2.6 用作自動化單元和集成測試指南 14
2.7 用作安全開發培訓 14

第二篇 ASVS詳解
第3章 V1：架構、設計和威脅建模 16
3.1 控制目標 17
3.2 驗證要求 17
3.3 參考文獻 19
第4章 V2：認證 20
4.1 控制目標 21
4.2 驗證要求 21
4.3 參考文獻 24
第5章 V3：會話管理 26
5.1 控制目標 27
5.2 驗證要求 27
5.3 參考文獻 29
第6章 V4：訪問控制 30
6.1 控制目標 31
6.2 驗證要求 31
6.3 參考文獻 33
第7章 V5：惡意輸入處理 34
7.1 控制目標 35
7.2 驗證要求 35
7.3 參考文獻 38
第8章 V6：密碼學安全 40
8.1 控制目標 41
8.2 驗證要求 41
8.3 參考文獻 43
第9章 V7：錯誤處理和日志記錄 44
9.1 控制目標 45
9.2 驗證要求 46
9.3 參考文獻 48
**0章 V8：數據保護 49
10.1 控制目標 50
10.2 驗證要求 51
10.3 參考文獻 52
**1章 V9：通信安全 53
11.1 控制目標 54
11.2 驗證要求 54
11.3 參考文獻 56
**2章 V10：HTTP安全配置 58
12.1 控制目標 59
12.2 驗證要求 59
12.3 參考文獻 60
**3章 V11：惡意控件 62
13.1 控制目標 63
13.2 驗證要求 63
13.3 參考文獻 64
**4章 V12：業務邏輯 65
14.1 控制目標 66
14.2 驗證要求 66
14.3 參考文獻 67
**5章 V13：文件和資源 68
15.1 控制目標 69
15.2 驗證要求 69
15.3 參考文獻 70
**6章 V14：移動應用程序 71
16.1 控制目標 72
16.2 驗證要求 72
16.3 參考文獻 74
**7章 V15：Web服務 75
17.1 控制目標 76
17.2 驗證要求 76
17.3 參考文獻 78
**8章 V16：安全配置 79
18.1 控制目標 80
18.2 驗證要求 80
18.3 參考文獻 81

第三篇 ASVS實踐案例分析
**9章 ASVS的實踐案例 83
19.1 案例1：作為安全測試指南使用 84
19.2 案例2：作為SDLC的實施指導 86
附 錄
附錄A 名詞解釋 89
附錄B 參考文獻 95
附錄C 標準映射 97
附錄D ASVS術語表 99
附錄E 采用ASVS的OWASP項目 104
附錄F OWASP安全編碼規範快速參考指南 106