#author("2020-07-17T17:03:22+09:00","","")
[[OWASP ASVS 4.0]]
*管理目標 [#c72ee4c9]
検証されるアプリケーションが以下の上位レベルの要件を満たしていることを確認します。
-ビジネスロジックフローはシーケンシャルであり、順番に処理され、迂回できません。
-ビジネスロジックには継続的な小額の資金転送や一度に百万の友人の追加などの自動攻撃を検出および防御するための制限を含んでいます。
-高価値のビジネスロジックフローでは悪用ケースや悪意のある人物を考慮し、なりすまし、改竄、否認、情報漏洩、権限昇格の攻撃に対する保護を有しています。
*V11.1 ビジネスロジックセキュリティ要件 [#i53df003]
ビジネスロジックセキュリティはすべてのアプリケーションにはそれぞれ個性があるため、一つのチェックリストをすべてに適用することはできません。ビジネスロジックセキュリティは外部からの脅威に対して保護するように設計されている必要があります。ウェブアプリケーションファイアウォールやセキュア通信を使用して追加することはできません。OWASP Cornucopia や同様のツールを使用するなどして、設計スプリントの中で脅威モデリングを使用することをお勧めします。
