| 标准编号 | GB/T 37931-2019 (GB/T37931-2019) | | 中文名称 | 信息安全技术 Web应用安全检测系统安全技术要求和测试评价方法 | | 英文名称 | Information security technology - Security technology requirements and testing and evaluation approaches for Web application security detection system | | 行业 | 国家标准 (推荐) | | 中标分类 | L80 | | 国际标准分类 | 35.040 | | 字数估计 | 46,457 | | 发布日期 | 2019-08-30 | | 实施日期 | 2020-03-01 | | 发布机构 | 国家市场监督管理总局、中国国家标准化管理委员会 | GB/T 37931-2019: 信息安全技术 Web应用安全检测系统安全技术要求和测试评价方法
GB/T 37931-2019 英文名称: Information security technology -- Security technology requirements and testing and evaluation approaches for Web application security detection system
1 范围
本标准规定了 Web应用安全检测系统的安全技术要求、测评方法及等级划分。
本标准适用于 Web应用安全检测系统的设计、开发与测评。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 18336.3-2015 信息技术 安全技术 信息技术安全评估准则 第3部分:安全保障组件
GB/T 25069-2010 信息安全技术 术语
3 术语和定义
GB/T 18336.3-2015和GB/T 25069-2010界定的以及下列术语和定义适用于本文件。
3.1
Web应用安全检测系统
对 Web应用的安全性进行检测的产品,能够依据策略对 Web应用进行URL发现,并对 Web应用
漏洞进行检测。
3.2
URL发现
从一个URL开始,发现通过该URL能够链接到的其他URL,包括在网页中出现的完整的URL、
通过各种计算得出的URL、各种跳转的URL等。
3.3
变形检测
一种通过编码、请求包变化等方法,实现绕过防护过滤的检测机制。
4 缩略语
下列缩略语适用于本文件。
CSRF:跨站请求伪造
HTTP:超文本传输协议
HTTPS:安全套接字层的超文本传输协议
LDAP:轻量目录访问协议
OWASP:开放式网页应用程序安全项目
SQL:结构化查询语言
URL:统一资源定位符,也称网页地址
XSS:跨站脚本
5 产品描述
Web应用安全检测系统采用URL发现、Web漏洞检测等技术,对 Web应用的安全性进行分析,安
全目的是为帮助应用开发者和管理者了解 Web应用存在的脆弱性,为改善并提升应用系统抵抗各类
Web应用攻击(如:注入攻击、跨站脚本、文件包含和信息泄露等)的能力,以帮助用户建立安全的 Web
应用服务。
本标准将 Web应用安全检测系统安全技术要求分为安全功能要求、自身安全要求和安全保障要求
三个大类。其中,安全功能要求针对 Web应用安全检测系统应具备的安全功能提出具体要求,主要包
括检测能力、检测任务管理和检测结果分析处理等;自身安全要求针对 Web应用安全检测系统的标识
与鉴别、安全管理和审计日志提出具体要求;安全保障要求针对 Web应用安全检测系统的生命周期过
程提出具体要求,包括开发、指导性文档、生命周期支持和测试等。
本标准将 Web应用安全检测系统(以下简称“产品”)的安全等级分为基本级和增强级。安全功能
与自身安全的强弱,以及安全保障要求的高低是等级划分的具体依据,安全等级突出安全特性。与基本
级内容相比,增强级中要求有所增加或变更的内容在正文中通过“黑体”表示。
6 安全技术要求
6.1 基本级安全技术要求
6.1.1 安全功能要求
6.1.1.1 检测能力
6.1.1.1.1 资源发现
产品应能发现 Web应用中的各种URL,发现的URL比例应高于90%。URL发现包括但不限于:
a) 解析和执行JavaScript等脚本而获得的URL;
b) 页面文件包含的URL;
c) Flash中内嵌的URL。
6.1.1.1.2 Web应用漏洞检测
产品应能检测 Web应用漏洞,同类型漏洞的漏报率、误报率应低于20%。漏洞类型包括但不
限于:
a) SQL注入漏洞,含基于Get、Post方式提交的应包括字符、数字和搜索等的注入漏洞;
b) Cookie注入漏洞,含基于Cookie方式提交的应包括字符、数字和搜索等的注入漏洞;
c) XSS漏洞,含基于Get、Post方式的跨站攻击漏洞;
d) CSRF漏洞;
e) 目录遍历漏洞;
f) 信息泄露漏洞,含路径泄露、备份文件、源代码泄露、目录浏览和phpinfo等信息泄露漏洞;
g) 认证方式脆弱,如弱口令等。
6.1.1.1.3 升级
产品应具备漏洞特征库的更新能力。
6.1.1.1.4 支持HTTPS
产品应能对基于HTTPS协议的 Web应用进行检测。
6.1.1.1.5 不影响目标对象
产品在检测过程中应避免影响目标 Web应用的正常工作。
6.1.1.2 检测任务管理
6.1.1.2.1 向导功能
产品应提供向导功能,指导用户进行正确配置。
6.1.1.2.2 检测范围
产品应能按照以下条件配置检测的范围:
a) 指定域名和URL;
b) 检测的深度;
c) 不检测的URL,如登出、删除等相关页面。
6.1.1.2.3 登录检测
产品应能基于登录信息对 Web应用进行检测。如基于录制信息、Cookie、Session和Token等一种
或多种方式授权登录并进行检测。
6.1.1.2.4 策略选择
产品应能按照以下方式来选择检测策略:
a) 漏洞类型;
b) 漏洞危害级别。
6.1.1.2.5 检测速度调节
产品应能采用配置HTTP请求速度、检测线程或进程数目等方式调节检测速度。
6.1.1.2.6 任务定制
产品应能按照计划任务实现批量启动检测,并根据设置自动生成相应的结果。
6.1.1.2.7 进度控制
产品应能对检测进度进行以下控制:
a) 随时停止;
b) 断点续扫。
6.1.1.3 检测结果分析处理
6.1.1.3.1 结果验证
产品应具备 Web应用漏洞验证的功能,能够提供参数进一步对XSS漏洞、SQL注入点、目录遍历、
信息泄露和命令执行等漏洞进行验证。
6.1.1.3.2 结果保存
检测结果应非明文存储于掉电非易失性存储介质中。
6.1.1.3.3 统计分析
产品应能根据检测结果对漏洞数量、漏洞类型和危害级别进行统计分析。
6.1.1.3.4 报告生成
产品应能对检测结果进行分析并形成报告,报告应包括:
a) 漏洞位置、漏洞名称、漏洞描述和危害级别等漏洞信息;
b) 漏洞修复建议。
6.1.1.3.5 报告输出
产品的检测报告应按以下要求输出:
a) 常用文档格式,如DOC、PDF和HTML;
b) 以便于用户理解的方式展现。
6.1.2 自身安全要求
6.1.2.1 标识与鉴别
6.1.2.1.1 用户标识
6.1.2.1.1.1 安全属性定义
产品应为每个用户规定与之相关的安全属性,如用户标识、隶属组、权限等。
6.1.2.1.1.2 属性初始化
产品应具备使用默认值对创建的每个用户的属性进行初始化。
6.1.2.1.1.3 唯一性标识
产品应为用户提供唯一标识,同时将用户的身份标识与该用户的所有可审计事件相关联。
6.1.2.1.2 身份鉴别
6.1.2.1.2.1 用户鉴别
产品应在执行任何安全功能操作前鉴别用户的身份。
6.1.2.1.2.2 鉴别信息保护
产品应采取技术措施保证用户鉴别信息不被未授权查阅或修改。
6.1.2.2 安全管理
6.1.2.2.1 管理能力
产品应允许授权用户进行以下管理:
a) 查看安全属性;
b) 修改安全属性;
c) 启动、关闭全部或部分安全功能。
6.1.2.2.2 安全角色管理
产品应具有至少两种不同权限的用户角色,如操作员、审计员等。
6.1.2.2.3 远程安全传输
若产品组件间通过网络进行通信,应采取措施保障......
|