国产一区二区黑丝美女_国产91透明丝袜美腿在线_99成人在线观看_久久精品欧美日韩精品

您好!歡迎光臨共立消防科技(廣東)有限公司,我們竭誠為您提供優質服務!

專注消防維保檢測(ce)

打造消防服務行業卓越品(pin)牌

消防檢測維保服務熱線:

當前位置: 主頁 > 消防資訊 > 安全標準

GB/T 37931-2019 信息安全技術 Web應用安全檢測系統安全技術要求和測試評價方法

  • 發表時間:2023-03-22
  • 來源:共立消防
  • 人氣:

1 范圍(wei)

      本標(biao)準規定(ding)了Web應(ying)用安全檢測系統的安全技術(shu)要求、測評方法及(ji)等級劃分。

      本(ben)標準適用于Web應用安全(quan)檢測系統的設計、開發與測評。

2 規(gui)范性引用文件

     ; 下列文件對(dui)于(yu)本(ben)文件的(de)(de)應用(yong)(yong)是(shi)必不(bu)可少的(de)(de)。凡(fan)是(shi)注(zhu)日(ri)期(qi)的(de)(de)引用(yong)(yong)文件,僅注(zhu)日(ri)期(qi)的(de)(de)版(ban)本(ben)適用(yong)(yong)于(yu)本(ben)文件。凡(fan)是(shi)不(bu)注(zhu)日(ri)期(qi)的(de)(de)引用(yong)(yong)文件,其最新版(ban)本(ben)(包(bao)括所有的(de)(de)修改(gai)單)適用(yong)(yong)于(yu)本(ben)文件。

      GB/T 18336.3-2015 信息技術(shu) 安(an)(an)(an)全技術(shu) 信息技術(shu)安(an)(an)(an)全評估準則(ze) 第(di)3部分:安(an)(an)(an)全保(bao)障(zhang)組件

      GB/T 25069-2010 信息安全技(ji)術 術語

3 術語和定義

      GB/T 18336.3-2015和(he)GB/T 25069-2010界定(ding)的以(yi)及下列術語和(he)定(ding)義適用于(yu)本文(wen)件。

3.1

      Web應用安全檢測系統 Web application security detection system

      對(dui)Web應用的安(an)全性進行檢(jian)測的產品,能夠(gou)依據(ju)策略(lve)對(dui)Web應用進行URL發(fa)現,并對(dui)Web應用漏洞進行檢(jian)測。

3.2

      URL發現(xian) URL discovery

      從一個URL開始(shi),發現通(tong)過(guo)該URL能(neng)夠鏈接到的(de)(de)其(qi)他URL,包(bao)括在網頁(ye)中出現的(de)(de)完整的(de)(de)URL、通(tong)過(guo)各種計(ji)算得出的(de)(de)URL、各種跳轉的(de)(de)URL等。

3.3

 ;     變形檢測(ce) deformation detection

      一種(zhong)通過編碼、請求包變(bian)化(hua)等方法(fa),實現繞(rao)過防(fang)護過濾(lv)的檢測(ce)機制。

4 縮略語

      下(xia)列(lie)縮略語適用于本文(wen)件。

      CSRF:跨站請求偽造(Cross Site Request Forgery)

      HTTP:超文本傳輸協(xie)議(HyperText Transfer Protocol)

   ;   HTTPS:安(an)全套接(jie)字層的超(chao)文本(ben)傳輸協議(yi)(HyperText Transfer Protocol over Secure Socket Lay-er)

      LDAP:輕量(liang)目錄(lu)訪問協議(Lightweight Directory Access Protocol)

      OWASP:開(kai)放(fang)式網(wang)頁應用程序(xu)安全項目(Open Web Application Security Project)

      SQL:結構化查詢語言(yan)(Structured Query Language)

      URL:統一資(zi)源(yuan)定位符,也稱網頁地址(Universal Resource Locator)

      XSS:跨站(zhan)腳本(ben)(Cross Site Scripting)

5 產品描述

      Web應(ying)(ying)(ying)用安(an)全檢(jian)測(ce)系統采用URL發現、Web漏(lou)洞檢(jian)測(ce)等技術,對Web應(ying)(ying)(ying)用的安(an)全性進行分(fen)析(xi),安(an)全目的是為幫助應(ying)(ying)(ying)用開發者和管理者了解Web應(ying)(ying)(ying)用存在的脆弱性,為改善并提升(sheng)應(ying)(ying)(ying)用系統抵抗各類Web應(ying)(ying)(ying)用攻擊(ji)(如:注入攻擊(ji)、跨站腳(jiao)本、文件包(bao)含和信息泄露等)的能力,以(yi)幫助用戶建(jian)立安(an)全的Web應(ying)(ying)(ying)用服務。

      本標(biao)準將Web應(ying)(ying)用(yong)安(an)(an)(an)全(quan)(quan)檢(jian)(jian)測(ce)系(xi)統(tong)(tong)安(an)(an)(an)全(quan)(quan)技術要(yao)(yao)(yao)(yao)求(qiu)(qiu)(qiu)分為安(an)(an)(an)全(quan)(quan)功(gong)能(neng)要(yao)(yao)(yao)(yao)求(qiu)(qiu)(qiu)、自身安(an)(an)(an)全(quan)(quan)要(yao)(yao)(yao)(yao)求(qiu)(qiu)(qiu)和(he)(he)安(an)(an)(an)全(quan)(quan)保(bao)障要(yao)(yao)(yao)(yao)求(qiu)(qiu)(qiu)三個大類。其中,安(an)(an)(an)全(quan)(quan)功(gong)能(neng)要(yao)(yao)(yao)(yao)求(qiu)(qiu)(qiu)針對Web應(ying)(ying)用(yong)安(an)(an)(an)全(quan)(quan)檢(jian)(jian)測(ce)系(xi)統(tong)(tong)應(ying)(ying)具備的安(an)(an)(an)全(quan)(quan)功(gong)能(neng)提(ti)出(chu)(chu)(chu)具體要(yao)(yao)(yao)(yao)求(qiu)(qiu)(qiu),主要(yao)(yao)(yao)(yao)包括(kuo)檢(jian)(jian)測(ce)能(neng)力(li)、檢(jian)(jian)測(ce)任務(wu)管理(li)和(he)(he)檢(jian)(jian)測(ce)結(jie)果(guo)分析處理(li)等;自身安(an)(an)(an)全(quan)(quan)要(yao)(yao)(yao)(yao)求(qiu)(qiu)(qiu)針對Web應(ying)(ying)用(yong)安(an)(an)(an)全(quan)(quan)檢(jian)(jian)測(ce)系(xi)統(tong)(tong)的標(biao)識與鑒別、安(an)(an)(an)全(quan)(quan)管理(li)和(he)(he)審計日志(zhi)提(ti)出(chu)(chu)(chu)具體要(yao)(yao)(yao)(yao)求(qiu)(qiu)(qiu);安(an)(an)(an)全(quan)(quan)保(bao)障要(yao)(yao)(yao)(yao)求(qiu)(qiu)(qiu)針對Web應(ying)(ying)用(yong)安(an)(an)(an)全(quan)(quan)檢(jian)(jian)測(ce)系(xi)統(tong)(tong)的生(sheng)命周期過程提(ti)出(chu)(chu)(chu)具體要(yao)(yao)(yao)(yao)求(qiu)(qiu)(qiu),包括(kuo)開(kai)發(fa)、指導性文檔(dang)、生(sheng)命周期支持和(he)(he)測(ce)試(shi)等。

      本標準將Web應用安(an)(an)全(quan)檢(jian)測系統(以下簡(jian)稱“產品”)的(de)安(an)(an)全(quan)等(deng)(deng)級(ji)(ji)分為基本級(ji)(ji)和增強(qiang)級(ji)(ji)。安(an)(an)全(quan)功(gong)能與自身安(an)(an)全(quan)的(de)強(qiang)弱,以及(ji)安(an)(an)全(quan)保障要(yao)求的(de)高低是等(deng)(deng)級(ji)(ji)劃分的(de)具(ju)體(ti)依據,安(an)(an)全(quan)等(deng)(deng)級(ji)(ji)突出安(an)(an)全(quan)特性。與基本級(ji)(ji)內(nei)容(rong)相比,增強(qiang)級(ji)(ji)中要(yao)求有所(suo)增加或變更的(de)內(nei)容(rong)在正文(wen)中通(tong)過“黑體(ti)”表示。

6 安全技術要求

6.1 基(ji)本(ben)級安全(quan)技術(shu)要求

6.1.1 安全功能要求

6.1.1.1 檢測能力

6.1.1.1.1 資源發現

     ; 產品應能發現(xian)(xian)Web應用中的(de)各(ge)種(zhong)URL,發現(xian)(xian)的(de)URL比例應高于90%。URL發現(xian)(xian)包括但(dan)不限于:

      a)解析和執行JavaScript等腳(jiao)本而獲得的URL;

      b)頁面文件包含的(de)URL;

      c)Flash中內嵌的URL。

6.1.1.1.2 Web應用(yong)漏洞檢測

      產品應能檢測 Web應用漏(lou)洞,同(tong)類型漏(lou)洞的漏(lou)報率(lv)、誤報率(lv)應低于20%。漏(lou)洞類型包(bao)括但不限(xian)于:

      a) SQL注入漏洞,含基于(yu)Get、 st方式(shi)提(ti)交(jiao)的(de)應(ying)包(bao)括字符(fu)、數字和搜索等的(de)注入漏洞;

      b)Cookie注入漏洞,含基于Cookie方式提交(jiao)的應包括字符(fu)、數字和搜索等的注入漏洞;

      c) XSS漏(lou)洞(dong),含基于  ost方式的跨站攻擊漏(lou)洞(dong);

      d)CSRF漏洞;

      e) 目錄遍(bian)歷(li)漏(lou)洞;

      f) 信息泄(xie)露漏洞,含路徑(jing)泄(xie)露、備份文件、源代(dai)碼泄(xie)露、目錄瀏覽和phpinfo等(deng)信息泄(xie)露漏洞;

      g) 認證方式脆弱(ruo),如弱(ruo)口令等;

      h)文件包(bao)含(han)漏(lou)洞,含(han)遠程、本地方式的(de)文件包(bao)含(han)漏(lou)洞。

6.1.1.1.3 升級

      產(chan)品應具(ju)備漏洞(dong)特征庫的更新能力。

6.1.1.1.4 支持 HTTPS

      產品應能對基于HTTPS協議的Web應用進行檢測(ce)。

6.1.1.1.5 不(bu)影響目標(biao)對象

      產品(pin)在(zai)檢測過程(cheng)中應避免影響(xiang)目(mu)標(biao)Web應用的正常工(gong)作。

6.1.1.2 檢(jian)測(ce)任(ren)務管理

6.1.1.2.1 向導功能

      產品應提供向導功能(neng),指導用戶進(jin)行正(zheng)確配置。

6.1.1.2.2 檢(jian)測范(fan)圍

      產品(pin)應能按照以下(xia)條件配置檢測的范(fan)圍:

      a)指定域名和(he)URL;

      b)檢(jian)測的深度;

      c)不檢測的URL,如登出、刪(shan)除等相關頁面(mian)。

6.1.1.2.3 登錄檢測

      產品應能基(ji)于(yu)(yu)登錄信息對Web應用進(jin)行(xing)檢測(ce)。如基(ji)于(yu)(yu)錄制信息、Cookie、Session和Token等一種(zhong)或多(duo)種(zhong)方式授(shou)權登錄并進(jin)行(xing)檢測(ce)。

6.1.1.2.4 策(ce)略選擇

      產品應能(neng)按照以下方(fang)式(shi)來選擇檢測策略:

      a)漏洞類型;

      b)漏(lou)洞危害級別。

6.1.1.2.5 檢測速度調節

      產(chan)品(pin)應能采用配置HTTP請(qing)求速度、檢(jian)測(ce)線程(cheng)或進程(cheng)數(shu)目等方式(shi)調(diao)節(jie)檢(jian)測(ce)速度。

6.1.1.2.6 任務定制

    ;  產品應能(neng)按(an)照計劃任務實現批量(liang)啟動檢(jian)測,并根據設置自動生成相應的結果。

6.1.1.2.7 進(jin)度控制

      產品(pin)應能對檢測進(jin)度進(jin)行以下控制:

      a)隨時停止;

      b)斷點續掃(sao)。


以(yi)上為(wei)標(biao)準(zhun)部(bu)分(fen)內容(rong),如(ru)需看標(biao)準(zhun)全文,請到相(xiang)關授(shou)權(quan)網站購買標(biao)準(zhun)正版。

推薦產品
  • IG541混合氣體滅火系統 IG541混合氣體滅火系統
    IG541混合氣體滅火系統:IG-541滅火系統采用的IG-541混合氣體滅火劑是由大氣層中的氮氣(N2)、氬氣(Ar)和二氧化碳(CO2)三種氣體分別以52%、40%、8%的比例混合而成的一種滅火劑
  • 二氧化碳氣體滅火系統 二氧化碳氣體滅火系統
    二氧化碳氣體滅火系統:二氧化碳氣體滅火系統由瓶架、滅火劑瓶組、泄漏檢測裝置、容器閥、金屬軟管、單向閥(滅火劑管)、集流管、安全泄漏裝置、選擇閥、信號反饋裝置、滅火劑輸送管、噴嘴、驅動氣體瓶組、電磁驅動
  • 七氟丙烷滅火系統 七氟丙烷滅火系統
    七氟丙烷(HFC—227ea)滅火系統是一種高效能的滅火設備,其滅火劑HFC—ea是一種無色、無味、低毒性、絕緣性好、無二次污染的氣體,對大氣臭氧層的耗損潛能值(ODP)為零,是鹵代烷1211、130
  • 手提式干粉滅火器 手提式干粉滅火器
    手提式干粉滅火器適滅火時,可手提或肩扛滅火器快速奔赴火場,在距燃燒處5米左右,放下滅火器。如在室外,應選擇在上風方向噴射。使用的干粉滅火器若是外掛式儲壓式的,操作者應一手緊握噴槍、另一手提起儲氣瓶上的