GB/T 37931-2019 信息安全技術 Web應用安全檢測系統安全技術要求和測試評價方法
- 發表時間:2023-03-22
- 來源:共立消防
- 人氣:
1 范圍(wei)
本標(biao)準規定(ding)了Web應(ying)用安全檢測系統的安全技術(shu)要求、測評方法及(ji)等級劃分。
本(ben)標準適用于Web應用安全(quan)檢測系統的設計、開發與測評。
2 規(gui)范性引用文件
下列文件對(dui)于(yu)本(ben)文件的(de)(de)應用(yong)(yong)是(shi)必不(bu)可少的(de)(de)。凡(fan)是(shi)注(zhu)日(ri)期(qi)的(de)(de)引用(yong)(yong)文件,僅注(zhu)日(ri)期(qi)的(de)(de)版(ban)本(ben)適用(yong)(yong)于(yu)本(ben)文件。凡(fan)是(shi)不(bu)注(zhu)日(ri)期(qi)的(de)(de)引用(yong)(yong)文件,其最新版(ban)本(ben)(包(bao)括所有的(de)(de)修改(gai)單)適用(yong)(yong)于(yu)本(ben)文件。
GB/T 18336.3-2015 信息技術(shu) 安(an)(an)(an)全技術(shu) 信息技術(shu)安(an)(an)(an)全評估準則(ze) 第(di)3部分:安(an)(an)(an)全保(bao)障(zhang)組件
GB/T 25069-2010 信息安全技(ji)術 術語
3 術語和定義
GB/T 18336.3-2015和(he)GB/T 25069-2010界定(ding)的以(yi)及下列術語和(he)定(ding)義適用于(yu)本文(wen)件。
3.1
Web應用安全檢測系統 Web application security detection system
對(dui)Web應用的安(an)全性進行檢(jian)測的產品,能夠(gou)依據(ju)策略(lve)對(dui)Web應用進行URL發(fa)現,并對(dui)Web應用漏洞進行檢(jian)測。
3.2
URL發現(xian) URL discovery
從一個URL開始(shi),發現通(tong)過(guo)該URL能(neng)夠鏈接到的(de)(de)其(qi)他URL,包(bao)括在網頁(ye)中出現的(de)(de)完整的(de)(de)URL、通(tong)過(guo)各種計(ji)算得出的(de)(de)URL、各種跳轉的(de)(de)URL等。
3.3
變形檢測(ce) deformation detection
一種(zhong)通過編碼、請求包變(bian)化(hua)等方法(fa),實現繞(rao)過防(fang)護過濾(lv)的檢測(ce)機制。
4 縮略語
下(xia)列(lie)縮略語適用于本文(wen)件。
CSRF:跨站請求偽造(Cross Site Request Forgery)
HTTP:超文本傳輸協(xie)議(HyperText Transfer Protocol)
HTTPS:安(an)全套接(jie)字層的超(chao)文本(ben)傳輸協議(yi)(HyperText Transfer Protocol over Secure Socket Lay-er)
LDAP:輕量(liang)目錄(lu)訪問協議(Lightweight Directory Access Protocol)
OWASP:開(kai)放(fang)式網(wang)頁應用程序(xu)安全項目(Open Web Application Security Project)
SQL:結構化查詢語言(yan)(Structured Query Language)
URL:統一資(zi)源(yuan)定位符,也稱網頁地址(Universal Resource Locator)
XSS:跨站(zhan)腳本(ben)(Cross Site Scripting)
5 產品描述
Web應(ying)(ying)(ying)用安(an)全檢(jian)測(ce)系統采用URL發現、Web漏(lou)洞檢(jian)測(ce)等技術,對Web應(ying)(ying)(ying)用的安(an)全性進行分(fen)析(xi),安(an)全目的是為幫助應(ying)(ying)(ying)用開發者和管理者了解Web應(ying)(ying)(ying)用存在的脆弱性,為改善并提升(sheng)應(ying)(ying)(ying)用系統抵抗各類Web應(ying)(ying)(ying)用攻擊(ji)(如:注入攻擊(ji)、跨站腳(jiao)本、文件包(bao)含和信息泄露等)的能力,以(yi)幫助用戶建(jian)立安(an)全的Web應(ying)(ying)(ying)用服務。
本標(biao)準將Web應(ying)(ying)用(yong)安(an)(an)(an)全(quan)(quan)檢(jian)(jian)測(ce)系(xi)統(tong)(tong)安(an)(an)(an)全(quan)(quan)技術要(yao)(yao)(yao)(yao)求(qiu)(qiu)(qiu)分為安(an)(an)(an)全(quan)(quan)功(gong)能(neng)要(yao)(yao)(yao)(yao)求(qiu)(qiu)(qiu)、自身安(an)(an)(an)全(quan)(quan)要(yao)(yao)(yao)(yao)求(qiu)(qiu)(qiu)和(he)(he)安(an)(an)(an)全(quan)(quan)保(bao)障要(yao)(yao)(yao)(yao)求(qiu)(qiu)(qiu)三個大類。其中,安(an)(an)(an)全(quan)(quan)功(gong)能(neng)要(yao)(yao)(yao)(yao)求(qiu)(qiu)(qiu)針對Web應(ying)(ying)用(yong)安(an)(an)(an)全(quan)(quan)檢(jian)(jian)測(ce)系(xi)統(tong)(tong)應(ying)(ying)具備的安(an)(an)(an)全(quan)(quan)功(gong)能(neng)提(ti)出(chu)(chu)(chu)具體要(yao)(yao)(yao)(yao)求(qiu)(qiu)(qiu),主要(yao)(yao)(yao)(yao)包括(kuo)檢(jian)(jian)測(ce)能(neng)力(li)、檢(jian)(jian)測(ce)任務(wu)管理(li)和(he)(he)檢(jian)(jian)測(ce)結(jie)果(guo)分析處理(li)等;自身安(an)(an)(an)全(quan)(quan)要(yao)(yao)(yao)(yao)求(qiu)(qiu)(qiu)針對Web應(ying)(ying)用(yong)安(an)(an)(an)全(quan)(quan)檢(jian)(jian)測(ce)系(xi)統(tong)(tong)的標(biao)識與鑒別、安(an)(an)(an)全(quan)(quan)管理(li)和(he)(he)審計日志(zhi)提(ti)出(chu)(chu)(chu)具體要(yao)(yao)(yao)(yao)求(qiu)(qiu)(qiu);安(an)(an)(an)全(quan)(quan)保(bao)障要(yao)(yao)(yao)(yao)求(qiu)(qiu)(qiu)針對Web應(ying)(ying)用(yong)安(an)(an)(an)全(quan)(quan)檢(jian)(jian)測(ce)系(xi)統(tong)(tong)的生(sheng)命周期過程提(ti)出(chu)(chu)(chu)具體要(yao)(yao)(yao)(yao)求(qiu)(qiu)(qiu),包括(kuo)開(kai)發(fa)、指導性文檔(dang)、生(sheng)命周期支持和(he)(he)測(ce)試(shi)等。
本標準將Web應用安(an)(an)全(quan)檢(jian)測系統(以下簡(jian)稱“產品”)的(de)安(an)(an)全(quan)等(deng)(deng)級(ji)(ji)分為基本級(ji)(ji)和增強(qiang)級(ji)(ji)。安(an)(an)全(quan)功(gong)能與自身安(an)(an)全(quan)的(de)強(qiang)弱,以及(ji)安(an)(an)全(quan)保障要(yao)求的(de)高低是等(deng)(deng)級(ji)(ji)劃分的(de)具(ju)體(ti)依據,安(an)(an)全(quan)等(deng)(deng)級(ji)(ji)突出安(an)(an)全(quan)特性。與基本級(ji)(ji)內(nei)容(rong)相比,增強(qiang)級(ji)(ji)中要(yao)求有所(suo)增加或變更的(de)內(nei)容(rong)在正文(wen)中通(tong)過“黑體(ti)”表示。
6 安全技術要求
6.1 基(ji)本(ben)級安全(quan)技術(shu)要求
6.1.1 安全功能要求
6.1.1.1 檢測能力
6.1.1.1.1 資源發現
產品應能發現(xian)(xian)Web應用中的(de)各(ge)種(zhong)URL,發現(xian)(xian)的(de)URL比例應高于90%。URL發現(xian)(xian)包括但(dan)不限于:
a)解析和執行JavaScript等腳(jiao)本而獲得的URL;
b)頁面文件包含的(de)URL;
c)Flash中內嵌的URL。
6.1.1.1.2 Web應用(yong)漏洞檢測
產品應能檢測 Web應用漏(lou)洞,同(tong)類型漏(lou)洞的漏(lou)報率(lv)、誤報率(lv)應低于20%。漏(lou)洞類型包(bao)括但不限(xian)于:
a) SQL注入漏洞,含基于(yu)Get、 st方式(shi)提(ti)交(jiao)的(de)應(ying)包(bao)括字符(fu)、數字和搜索等的(de)注入漏洞;
b)Cookie注入漏洞,含基于Cookie方式提交(jiao)的應包括字符(fu)、數字和搜索等的注入漏洞;
c) XSS漏(lou)洞(dong),含基于 ost方式的跨站攻擊漏(lou)洞(dong);
d)CSRF漏洞;
e) 目錄遍(bian)歷(li)漏(lou)洞;
f) 信息泄(xie)露漏洞,含路徑(jing)泄(xie)露、備份文件、源代(dai)碼泄(xie)露、目錄瀏覽和phpinfo等(deng)信息泄(xie)露漏洞;
g) 認證方式脆弱(ruo),如弱(ruo)口令等;
h)文件包(bao)含(han)漏(lou)洞,含(han)遠程、本地方式的(de)文件包(bao)含(han)漏(lou)洞。
6.1.1.1.3 升級
產(chan)品應具(ju)備漏洞(dong)特征庫的更新能力。
6.1.1.1.4 支持 HTTPS
產品應能對基于HTTPS協議的Web應用進行檢測(ce)。
6.1.1.1.5 不(bu)影響目標(biao)對象
產品(pin)在(zai)檢測過程(cheng)中應避免影響(xiang)目(mu)標(biao)Web應用的正常工(gong)作。
6.1.1.2 檢(jian)測(ce)任(ren)務管理
6.1.1.2.1 向導功能
產品應提供向導功能(neng),指導用戶進(jin)行正(zheng)確配置。
6.1.1.2.2 檢(jian)測范(fan)圍
產品(pin)應能按照以下(xia)條件配置檢測的范(fan)圍:
a)指定域名和(he)URL;
b)檢(jian)測的深度;
c)不檢測的URL,如登出、刪(shan)除等相關頁面(mian)。
6.1.1.2.3 登錄檢測
產品應能基(ji)于(yu)(yu)登錄信息對Web應用進(jin)行(xing)檢測(ce)。如基(ji)于(yu)(yu)錄制信息、Cookie、Session和Token等一種(zhong)或多(duo)種(zhong)方式授(shou)權登錄并進(jin)行(xing)檢測(ce)。
6.1.1.2.4 策(ce)略選擇
產品應能(neng)按照以下方(fang)式(shi)來選擇檢測策略:
a)漏洞類型;
b)漏(lou)洞危害級別。
6.1.1.2.5 檢測速度調節
產(chan)品(pin)應能采用配置HTTP請(qing)求速度、檢(jian)測(ce)線程(cheng)或進程(cheng)數(shu)目等方式(shi)調(diao)節(jie)檢(jian)測(ce)速度。
6.1.1.2.6 任務定制
產品應能(neng)按(an)照計劃任務實現批量(liang)啟動檢(jian)測,并根據設置自動生成相應的結果。
6.1.1.2.7 進(jin)度控制
產品(pin)應能對檢測進(jin)度進(jin)行以下控制:
a)隨時停止;
b)斷點續掃(sao)。
以(yi)上為(wei)標(biao)準(zhun)部(bu)分(fen)內容(rong),如(ru)需看標(biao)準(zhun)全文,請到相(xiang)關授(shou)權(quan)網站購買標(biao)準(zhun)正版。
-
IG541混合氣體滅火系統
IG541混合氣體滅火系統:IG-541滅火系統采用的IG-541混合氣體滅火劑是由大氣層中的氮氣(N2)、氬氣(Ar)和二氧化碳(CO2)三種氣體分別以52%、40%、8%的比例混合而成的一種滅火劑 -
二氧化碳氣體滅火系統
二氧化碳氣體滅火系統:二氧化碳氣體滅火系統由瓶架、滅火劑瓶組、泄漏檢測裝置、容器閥、金屬軟管、單向閥(滅火劑管)、集流管、安全泄漏裝置、選擇閥、信號反饋裝置、滅火劑輸送管、噴嘴、驅動氣體瓶組、電磁驅動 -
七氟丙烷滅火系統
七氟丙烷(HFC—227ea)滅火系統是一種高效能的滅火設備,其滅火劑HFC—ea是一種無色、無味、低毒性、絕緣性好、無二次污染的氣體,對大氣臭氧層的耗損潛能值(ODP)為零,是鹵代烷1211、130 -
手提式干粉滅火器
手提式干粉滅火器適滅火時,可手提或肩扛滅火器快速奔赴火場,在距燃燒處5米左右,放下滅火器。如在室外,應選擇在上風方向噴射。使用的干粉滅火器若是外掛式儲壓式的,操作者應一手緊握噴槍、另一手提起儲氣瓶上的