1 范圍

      本標(biāo)準(zhǔn)規(guī)定了Web應(yīng)用安全檢測(cè)系統(tǒng)的安全技術(shù)要求、測(cè)評(píng)方法及等級(jí)劃分。

      本標(biāo)準(zhǔn)適用于Web應(yīng)用安全檢測(cè)系統(tǒng)的設(shè)計(jì)、開發(fā)與測(cè)評(píng)。

2 規(guī)范性引用文件

      下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

      GB/T 18336.3-2015 信息技術(shù) 安全技術(shù) 信息技術(shù)安全評(píng)估準(zhǔn)則 第3部分：安全保障組件

      GB/T 25069-2010 信息安全技術(shù) 術(shù)語

3 術(shù)語和定義

      GB/T 18336.3-2015和GB/T 25069-2010界定的以及下列術(shù)語和定義適用于本文件。

3.1

      Web應(yīng)用安全檢測(cè)系統(tǒng) Web application security detection system

      對(duì)Web應(yīng)用的安全性進(jìn)行檢測(cè)的產(chǎn)品，能夠依據(jù)策略對(duì)Web應(yīng)用進(jìn)行URL發(fā)現(xiàn)，并對(duì)Web應(yīng)用漏洞進(jìn)行檢測(cè)。

3.2

      URL發(fā)現(xiàn) URL discovery

      從一個(gè)URL開始，發(fā)現(xiàn)通過該URL能夠鏈接到的其他URL，包括在網(wǎng)頁中出現(xiàn)的完整的URL、通過各種計(jì)算得出的URL、各種跳轉(zhuǎn)的URL等。

3.3

      變形檢測(cè) deformation detection

      一種通過編碼、請(qǐng)求包變化等方法，實(shí)現(xiàn)繞過防護(hù)過濾的檢測(cè)機(jī)制。

4 縮略語

      下列縮略語適用于本文件。

      CSRF：跨站請(qǐng)求偽造（Cross Site Request Forgery）

      HTTP：超文本傳輸協(xié)議（HyperText Transfer Protocol）

      HTTPS：安全套接字層的超文本傳輸協(xié)議（HyperText Transfer Protocol over Secure Socket Lay-er)

      LDAP：輕量目錄訪問協(xié)議（Lightweight Directory Access Protocol）

      OWASP：開放式網(wǎng)頁應(yīng)用程序安全項(xiàng)目（Open Web Application Security Project）

      SQL：結(jié)構(gòu)化查詢語言（Structured Query Language）

      URL：統(tǒng)一資源定位符，也稱網(wǎng)頁地址（Universal Resource Locator）

      XSS：跨站腳本（Cross Site Scripting）

5 產(chǎn)品描述

      Web應(yīng)用安全檢測(cè)系統(tǒng)采用URL發(fā)現(xiàn)、Web漏洞檢測(cè)等技術(shù)，對(duì)Web應(yīng)用的安全性進(jìn)行分析，安全目的是為幫助應(yīng)用開發(fā)者和管理者了解Web應(yīng)用存在的脆弱性，為改善并提升應(yīng)用系統(tǒng)抵抗各類Web應(yīng)用攻擊（如：注入攻擊、跨站腳本、文件包含和信息泄露等）的能力，以幫助用戶建立安全的Web應(yīng)用服務(wù)。

      本標(biāo)準(zhǔn)將Web應(yīng)用安全檢測(cè)系統(tǒng)安全技術(shù)要求分為安全功能要求、自身安全要求和安全保障要求三個(gè)大類。其中，安全功能要求針對(duì)Web應(yīng)用安全檢測(cè)系統(tǒng)應(yīng)具備的安全功能提出具體要求，主要包括檢測(cè)能力、檢測(cè)任務(wù)管理和檢測(cè)結(jié)果分析處理等；自身安全要求針對(duì)Web應(yīng)用安全檢測(cè)系統(tǒng)的標(biāo)識(shí)與鑒別、安全管理和審計(jì)日志提出具體要求；安全保障要求針對(duì)Web應(yīng)用安全檢測(cè)系統(tǒng)的生命周期過程提出具體要求，包括開發(fā)、指導(dǎo)性文檔、生命周期支持和測(cè)試等。

      本標(biāo)準(zhǔn)將Web應(yīng)用安全檢測(cè)系統(tǒng)（以下簡(jiǎn)稱“產(chǎn)品”）的安全等級(jí)分為基本級(jí)和增強(qiáng)級(jí)。安全功能與自身安全的強(qiáng)弱，以及安全保障要求的高低是等級(jí)劃分的具體依據(jù)，安全等級(jí)突出安全特性。與基本級(jí)內(nèi)容相比，增強(qiáng)級(jí)中要求有所增加或變更的內(nèi)容在正文中通過“黑體”表示。

6 安全技術(shù)要求

6.1 基本級(jí)安全技術(shù)要求

6.1.1 安全功能要求

6.1.1.1 檢測(cè)能力

6.1.1.1.1 資源發(fā)現(xiàn)

      產(chǎn)品應(yīng)能發(fā)現(xiàn)Web應(yīng)用中的各種URL，發(fā)現(xiàn)的URL比例應(yīng)高于90％。URL發(fā)現(xiàn)包括但不限于：

      a）解析和執(zhí)行JavaScript等腳本而獲得的URL；

      b）頁面文件包含的URL；

      c）Flash中內(nèi)嵌的URL。

6.1.1.1.2 Web應(yīng)用漏洞檢測(cè)

      產(chǎn)品應(yīng)能檢測(cè) Web應(yīng)用漏洞，同類型漏洞的漏報(bào)率、誤報(bào)率應(yīng)低于20％。漏洞類型包括但不限于：

      a) SQL注入漏洞，含基于Get、 st方式提交的應(yīng)包括字符、數(shù)字和搜索等的注入漏洞；

      b）Cookie注入漏洞，含基于Cookie方式提交的應(yīng)包括字符、數(shù)字和搜索等的注入漏洞；

      c) XSS漏洞，含基于  ost方式的跨站攻擊漏洞；

      d）CSRF漏洞；

      e) 目錄遍歷漏洞；

      f) 信息泄露漏洞，含路徑泄露、備份文件、源代碼泄露、目錄瀏覽和phpinfo等信息泄露漏洞；

      g) 認(rèn)證方式脆弱，如弱口令等；

      h）文件包含漏洞，含遠(yuǎn)程、本地方式的文件包含漏洞。

6.1.1.1.3 升級(jí)

      產(chǎn)品應(yīng)具備漏洞特征庫的更新能力。

6.1.1.1.4 支持 HTTPS

      產(chǎn)品應(yīng)能對(duì)基于HTTPS協(xié)議的Web應(yīng)用進(jìn)行檢測(cè)。

6.1.1.1.5 不影響目標(biāo)對(duì)象

      產(chǎn)品在檢測(cè)過程中應(yīng)避免影響目標(biāo)Web應(yīng)用的正常工作。

6.1.1.2 檢測(cè)任務(wù)管理

6.1.1.2.1 向?qū)Чδ?/p>

      產(chǎn)品應(yīng)提供向?qū)Чδ?，指?dǎo)用戶進(jìn)行正確配置。

6.1.1.2.2 檢測(cè)范圍

      產(chǎn)品應(yīng)能按照以下條件配置檢測(cè)的范圍：

      a）指定域名和URL；

      b）檢測(cè)的深度；

      c）不檢測(cè)的URL，如登出、刪除等相關(guān)頁面。

6.1.1.2.3 登錄檢測(cè)

      產(chǎn)品應(yīng)能基于登錄信息對(duì)Web應(yīng)用進(jìn)行檢測(cè)。如基于錄制信息、Cookie、Session和Token等一種或多種方式授權(quán)登錄并進(jìn)行檢測(cè)。

6.1.1.2.4 策略選擇

      產(chǎn)品應(yīng)能按照以下方式來選擇檢測(cè)策略：

      a）漏洞類型；

      b）漏洞危害級(jí)別。

6.1.1.2.5 檢測(cè)速度調(diào)節(jié)

      產(chǎn)品應(yīng)能采用配置HTTP請(qǐng)求速度、檢測(cè)線程或進(jìn)程數(shù)目等方式調(diào)節(jié)檢測(cè)速度。

6.1.1.2.6 任務(wù)定制

      產(chǎn)品應(yīng)能按照計(jì)劃任務(wù)實(shí)現(xiàn)批量啟動(dòng)檢測(cè)，并根據(jù)設(shè)置自動(dòng)生成相應(yīng)的結(jié)果。

6.1.1.2.7 進(jìn)度控制

      產(chǎn)品應(yīng)能對(duì)檢測(cè)進(jìn)度進(jìn)行以下控制：

      a）隨時(shí)停止；

      b）斷點(diǎn)續(xù)掃。

以上為標(biāo)準(zhǔn)部分內(nèi)容，如需看標(biāo)準(zhǔn)全文，請(qǐng)到相關(guān)授權(quán)網(wǎng)站購買標(biāo)準(zhǔn)正版。