1 范圍

      本標(biāo)準(zhǔn)規(guī)定了Web應(yīng)用安全檢測系統(tǒng)的安全技術(shù)要求、測評方法及等級劃分。

      本標(biāo)準(zhǔn)適用于Web應(yīng)用安全檢測系統(tǒng)的設(shè)計(jì)、開發(fā)與測評。

2 規(guī)范性引用文件

      下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

      GB/T 18336.3-2015 信息技術(shù) 安全技術(shù) 信息技術(shù)安全評估準(zhǔn)則 第3部分：安全保障組件

      GB/T 25069-2010 信息安全技術(shù) 術(shù)語

3 術(shù)語和定義

      GB/T 18336.3-2015和GB/T 25069-2010界定的以及下列術(shù)語和定義適用于本文件。

3.1

      Web應(yīng)用安全檢測系統(tǒng) Web application security detection system

      對Web應(yīng)用的安全性進(jìn)行檢測的產(chǎn)品，能夠依據(jù)策略對Web應(yīng)用進(jìn)行URL發(fā)現(xiàn)，并對Web應(yīng)用漏洞進(jìn)行檢測。

3.2

      URL發(fā)現(xiàn) URL discovery

      從一個(gè)URL開始，發(fā)現(xiàn)通過該URL能夠鏈接到的其他URL，包括在網(wǎng)頁中出現(xiàn)的完整的URL、通過各種計(jì)算得出的URL、各種跳轉(zhuǎn)的URL等。

3.3

      變形檢測 deformation detection

      一種通過編碼、請求包變化等方法，實(shí)現(xiàn)繞過防護(hù)過濾的檢測機(jī)制。

4 縮略語

      下列縮略語適用于本文件。

      CSRF：跨站請求偽造（Cross Site Request Forgery）

      HTTP：超文本傳輸協(xié)議（HyperText Transfer Protocol）

      HTTPS：安全套接字層的超文本傳輸協(xié)議（HyperText Transfer Protocol over Secure Socket Lay-er)

      LDAP：輕量目錄訪問協(xié)議（Lightweight Directory Access Protocol）

      OWASP：開放式網(wǎng)頁應(yīng)用程序安全項(xiàng)目（Open Web Application Security Project）

      SQL：結(jié)構(gòu)化查詢語言（Structured Query Language）

      URL：統(tǒng)一資源定位符，也稱網(wǎng)頁地址（Universal Resource Locator）

      XSS：跨站腳本（Cross Site Scripting）

5 產(chǎn)品描述

      Web應(yīng)用安全檢測系統(tǒng)采用URL發(fā)現(xiàn)、Web漏洞檢測等技術(shù)，對Web應(yīng)用的安全性進(jìn)行分析，安全目的是為幫助應(yīng)用開發(fā)者和管理者了解Web應(yīng)用存在的脆弱性，為改善并提升應(yīng)用系統(tǒng)抵抗各類Web應(yīng)用攻擊（如：注入攻擊、跨站腳本、文件包含和信息泄露等）的能力，以幫助用戶建立安全的Web應(yīng)用服務(wù)。

      本標(biāo)準(zhǔn)將Web應(yīng)用安全檢測系統(tǒng)安全技術(shù)要求分為安全功能要求、自身安全要求和安全保障要求三個(gè)大類。其中，安全功能要求針對Web應(yīng)用安全檢測系統(tǒng)應(yīng)具備的安全功能提出具體要求，主要包括檢測能力、檢測任務(wù)管理和檢測結(jié)果分析處理等；自身安全要求針對Web應(yīng)用安全檢測系統(tǒng)的標(biāo)識與鑒別、安全管理和審計(jì)日志提出具體要求；安全保障要求針對Web應(yīng)用安全檢測系統(tǒng)的生命周期過程提出具體要求，包括開發(fā)、指導(dǎo)性文檔、生命周期支持和測試等。

      本標(biāo)準(zhǔn)將Web應(yīng)用安全檢測系統(tǒng)（以下簡稱“產(chǎn)品”）的安全等級分為基本級和增強(qiáng)級。安全功能與自身安全的強(qiáng)弱，以及安全保障要求的高低是等級劃分的具體依據(jù)，安全等級突出安全特性。與基本級內(nèi)容相比，增強(qiáng)級中要求有所增加或變更的內(nèi)容在正文中通過“黑體”表示。

6 安全技術(shù)要求

6.1 基本級安全技術(shù)要求

6.1.1 安全功能要求

6.1.1.1 檢測能力

6.1.1.1.1 資源發(fā)現(xiàn)

      產(chǎn)品應(yīng)能發(fā)現(xiàn)Web應(yīng)用中的各種URL，發(fā)現(xiàn)的URL比例應(yīng)高于90％。URL發(fā)現(xiàn)包括但不限于：

      a）解析和執(zhí)行JavaScript等腳本而獲得的URL；

      b）頁面文件包含的URL；

      c）Flash中內(nèi)嵌的URL。

6.1.1.1.2 Web應(yīng)用漏洞檢測

      產(chǎn)品應(yīng)能檢測 Web應(yīng)用漏洞，同類型漏洞的漏報(bào)率、誤報(bào)率應(yīng)低于20％。漏洞類型包括但不限于：

      a) SQL注入漏洞，含基于Get、 st方式提交的應(yīng)包括字符、數(shù)字和搜索等的注入漏洞；

      b）Cookie注入漏洞，含基于Cookie方式提交的應(yīng)包括字符、數(shù)字和搜索等的注入漏洞；

      c) XSS漏洞，含基于  ost方式的跨站攻擊漏洞；

      d）CSRF漏洞；

      e) 目錄遍歷漏洞；

      f) 信息泄露漏洞，含路徑泄露、備份文件、源代碼泄露、目錄瀏覽和phpinfo等信息泄露漏洞；

      g) 認(rèn)證方式脆弱，如弱口令等；

      h）文件包含漏洞，含遠(yuǎn)程、本地方式的文件包含漏洞。

6.1.1.1.3 升級

      產(chǎn)品應(yīng)具備漏洞特征庫的更新能力。

6.1.1.1.4 支持 HTTPS

      產(chǎn)品應(yīng)能對基于HTTPS協(xié)議的Web應(yīng)用進(jìn)行檢測。

6.1.1.1.5 不影響目標(biāo)對象

      產(chǎn)品在檢測過程中應(yīng)避免影響目標(biāo)Web應(yīng)用的正常工作。

6.1.1.2 檢測任務(wù)管理

6.1.1.2.1 向?qū)Чδ?/p>

      產(chǎn)品應(yīng)提供向?qū)Чδ埽笇?dǎo)用戶進(jìn)行正確配置。

6.1.1.2.2 檢測范圍

      產(chǎn)品應(yīng)能按照以下條件配置檢測的范圍：

      a）指定域名和URL；

      b）檢測的深度；

      c）不檢測的URL，如登出、刪除等相關(guān)頁面。

6.1.1.2.3 登錄檢測

      產(chǎn)品應(yīng)能基于登錄信息對Web應(yīng)用進(jìn)行檢測。如基于錄制信息、Cookie、Session和Token等一種或多種方式授權(quán)登錄并進(jìn)行檢測。

6.1.1.2.4 策略選擇

      產(chǎn)品應(yīng)能按照以下方式來選擇檢測策略：

      a）漏洞類型；

      b）漏洞危害級別。

6.1.1.2.5 檢測速度調(diào)節(jié)

      產(chǎn)品應(yīng)能采用配置HTTP請求速度、檢測線程或進(jìn)程數(shù)目等方式調(diào)節(jié)檢測速度。

6.1.1.2.6 任務(wù)定制

      產(chǎn)品應(yīng)能按照計(jì)劃任務(wù)實(shí)現(xiàn)批量啟動(dòng)檢測，并根據(jù)設(shè)置自動(dòng)生成相應(yīng)的結(jié)果。

6.1.1.2.7 進(jìn)度控制

      產(chǎn)品應(yīng)能對檢測進(jìn)度進(jìn)行以下控制：

      a）隨時(shí)停止；

      b）斷點(diǎn)續(xù)掃。

以上為標(biāo)準(zhǔn)部分內(nèi)容，如需看標(biāo)準(zhǔn)全文，請到相關(guān)授權(quán)網(wǎng)站購買標(biāo)準(zhǔn)正版。