คำยืนยัน
สถาปัตยกรรมของ PMS-99 ผ่านการทวนสอบตาม OWASP ASVS Level 1 baseline โดยมุ่งเน้นการควบคุมความปลอดภัยพื้นฐานที่สำคัญสำหรับแอปพลิเคชันเว็บสมัยใหม่
สิ่งที่ครอบคลุม
- การตรวจสอบสิทธิ์เข้าถึงสำหรับ API และเส้นทางข้อมูลสำคัญ
- การตรวจสอบความถูกต้องของข้อมูลนำเข้าและการป้องกันการใช้งานผิดปกติในจุดเสี่ยง
- การกำหนดรูปแบบข้อความข้อผิดพลาดเพื่อลดการเปิดเผยรายละเอียดภายในระบบ
- การตั้งค่าความปลอดภัยของ session/cookie สำหรับการใช้งานผ่านเบราว์เซอร์อย่างปลอดภัย
- การทวนสอบด้าน runtime เป็นระยะและบันทึกหลักฐานการตรวจสอบ
แนวทางการทวนสอบ
- ทบทวนตามหัวข้อควบคุมของ ASVS Level 1 แบบ control-by-control
- ตรวจสอบความสอดคล้องในโค้ดสำหรับขอบเขตการยืนยันตัวตนและการกำหนดสิทธิ์
- เก็บหลักฐานจากการตรวจสอบ runtime เช่น HTTPS, headers และ cookie behavior
- ทดสอบกรณีผิดพลาดเชิงธุรกิจในจุดสำคัญ (negative-path abuse tests)