1 范围

      本标准规定了Web应用安全检测系统的安全技术要求、测评方法及等级划分。

      本标准适用于Web应用安全检测系统的设计、开发与测评。

2 规范性引用文件

      下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

      GB/T 18336.3-2015 信息技术 安全技术 信息技术安全评估准则 第3部分：安全保障组件

      GB/T 25069-2010 信息安全技术 术语

3 术语和定义

      GB/T 18336.3-2015和GB/T 25069-2010界定的以及下列术语和定义适用于本文件。

3.1

      Web应用安全检测系统 Web application security detection system

      对Web应用的安全性进行检测的产品，能够依据策略对Web应用进行URL发现，并对Web应用漏洞进行检测。

3.2

      URL发现 URL discovery

      从一个URL开始，发现通过该URL能够链接到的其他URL，包括在网页中出现的完整的URL、通过各种计算得出的URL、各种跳转的URL等。

3.3

      变形检测 deformation detection

      一种通过编码、请求包变化等方法，实现绕过防护过滤的检测机制。

4 缩略语

      下列缩略语适用于本文件。

      CSRF：跨站请求伪造（Cross Site Request Forgery）

      HTTP：超文本传输协议（HyperText Transfer Protocol）

      HTTPS：安全套接字层的超文本传输协议（HyperText Transfer Protocol over Secure Socket Lay-er)

      LDAP：轻量目录访问协议（Lightweight Directory Access Protocol）

      OWASP：开放式网页应用程序安全项目（Open Web Application Security Project）

      SQL：结构化查询语言（Structured Query Language）

      URL：统一资源定位符，也称网页地址（Universal Resource Locator）

      XSS：跨站脚本（Cross Site Scripting）

5 产品描述

      Web应用安全检测系统采用URL发现、Web漏洞检测等技术，对Web应用的安全性进行分析，安全目的是为帮助应用开发者和管理者了解Web应用存在的脆弱性，为改善并提升应用系统抵抗各类Web应用攻击（如：注入攻击、跨站脚本、文件包含和信息泄露等）的能力，以帮助用户建立安全的Web应用服务。

      本标准将Web应用安全检测系统安全技术要求分为安全功能要求、自身安全要求和安全保障要求三个大类。其中，安全功能要求针对Web应用安全检测系统应具备的安全功能提出具体要求，主要包括检测能力、检测任务管理和检测结果分析处理等；自身安全要求针对Web应用安全检测系统的标识与鉴别、安全管理和审计日志提出具体要求；安全保障要求针对Web应用安全检测系统的生命周期过程提出具体要求，包括开发、指导性文档、生命周期支持和测试等。

      本标准将Web应用安全检测系统（以下简称“产品”）的安全等级分为基本级和增强级。安全功能与自身安全的强弱，以及安全保障要求的高低是等级划分的具体依据，安全等级突出安全特性。与基本级内容相比，增强级中要求有所增加或变更的内容在正文中通过“黑体”表示。

6 安全技术要求

6.1 基本级安全技术要求

6.1.1 安全功能要求

6.1.1.1 检测能力

6.1.1.1.1 资源发现

      产品应能发现Web应用中的各种URL，发现的URL比例应高于90％。URL发现包括但不限于：

      a）解析和执行JavaScript等脚本而获得的URL；

      b）页面文件包含的URL；

      c）Flash中内嵌的URL。

6.1.1.1.2 Web应用漏洞检测

      产品应能检测 Web应用漏洞，同类型漏洞的漏报率、误报率应低于20％。漏洞类型包括但不限于：

      a) SQL注入漏洞，含基于Get、 st方式提交的应包括字符、数字和搜索等的注入漏洞；

      b）Cookie注入漏洞，含基于Cookie方式提交的应包括字符、数字和搜索等的注入漏洞；

      c) XSS漏洞，含基于  ost方式的跨站攻击漏洞；

      d）CSRF漏洞；

      e) 目录遍历漏洞；

      f) 信息泄露漏洞，含路径泄露、备份文件、源代码泄露、目录浏览和phpinfo等信息泄露漏洞；

      g) 认证方式脆弱，如弱口令等；

      h）文件包含漏洞，含远程、本地方式的文件包含漏洞。

6.1.1.1.3 升级

      产品应具备漏洞特征库的更新能力。

6.1.1.1.4 支持 HTTPS

      产品应能对基于HTTPS协议的Web应用进行检测。

6.1.1.1.5 不影响目标对象

      产品在检测过程中应避免影响目标Web应用的正常工作。

6.1.1.2 检测任务管理

6.1.1.2.1 向导功能

      产品应提供向导功能，指导用户进行正确配置。

6.1.1.2.2 检测范围

      产品应能按照以下条件配置检测的范围：

      a）指定域名和URL；

      b）检测的深度；

      c）不检测的URL，如登出、删除等相关页面。

6.1.1.2.3 登录检测

      产品应能基于登录信息对Web应用进行检测。如基于录制信息、Cookie、Session和Token等一种或多种方式授权登录并进行检测。

6.1.1.2.4 策略选择

      产品应能按照以下方式来选择检测策略：

      a）漏洞类型；

      b）漏洞危害级别。

6.1.1.2.5 检测速度调节

      产品应能采用配置HTTP请求速度、检测线程或进程数目等方式调节检测速度。

6.1.1.2.6 任务定制

      产品应能按照计划任务实现批量启动检测，并根据设置自动生成相应的结果。

6.1.1.2.7 进度控制

      产品应能对检测进度进行以下控制：

      a）随时停止；

      b）断点续扫。

以上为标准部分内容，如需看标准全文，请到相关授权网站购买标准正版。