1 范圍

      本標準規定了Web應用安全檢測系統的安全技術要求、測評方法及等級劃分。

      本標準適用于Web應用安全檢測系統的設計、開發與測評。

2 規范性引用文件

      下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

      GB/T 18336.3-2015 信息技術 安全技術 信息技術安全評估準則 第3部分：安全保障組件

      GB/T 25069-2010 信息安全技術 術語

3 術語和定義

      GB/T 18336.3-2015和GB/T 25069-2010界定的以及下列術語和定義適用于本文件。

3.1

      Web應用安全檢測系統 Web application security detection system

      對Web應用的安全性進行檢測的產品，能夠依據策略對Web應用進行URL發現，并對Web應用漏洞進行檢測。

3.2

      URL發現 URL discovery

      從一個URL開始，發現通過該URL能夠鏈接到的其他URL，包括在網頁中出現的完整的URL、通過各種計算得出的URL、各種跳轉的URL等。

3.3

      變形檢測 deformation detection

      一種通過編碼、請求包變化等方法，實現繞過防護過濾的檢測機制。

4 縮略語

      下列縮略語適用于本文件。

      CSRF：跨站請求偽造（Cross Site Request Forgery）

      HTTP：超文本傳輸協議（HyperText Transfer Protocol）

      HTTPS：安全套接字層的超文本傳輸協議（HyperText Transfer Protocol over Secure Socket Lay-er)

      LDAP：輕量目錄訪問協議（Lightweight Directory Access Protocol）

      OWASP：開放式網頁應用程序安全項目（Open Web Application Security Project）

      SQL：結構化查詢語言（Structured Query Language）

      URL：統一資源定位符，也稱網頁地址（Universal Resource Locator）

      XSS：跨站腳本（Cross Site Scripting）

5 產品描述

      Web應用安全檢測系統采用URL發現、Web漏洞檢測等技術，對Web應用的安全性進行分析，安全目的是為幫助應用開發者和管理者了解Web應用存在的脆弱性，為改善并提升應用系統抵抗各類Web應用攻擊（如：注入攻擊、跨站腳本、文件包含和信息泄露等）的能力，以幫助用戶建立安全的Web應用服務。

      本標準將Web應用安全檢測系統安全技術要求分為安全功能要求、自身安全要求和安全保障要求三個大類。其中，安全功能要求針對Web應用安全檢測系統應具備的安全功能提出具體要求，主要包括檢測能力、檢測任務管理和檢測結果分析處理等；自身安全要求針對Web應用安全檢測系統的標識與鑒別、安全管理和審計日志提出具體要求；安全保障要求針對Web應用安全檢測系統的生命周期過程提出具體要求，包括開發、指導性文檔、生命周期支持和測試等。

      本標準將Web應用安全檢測系統（以下簡稱“產品”）的安全等級分為基本級和增強級。安全功能與自身安全的強弱，以及安全保障要求的高低是等級劃分的具體依據，安全等級突出安全特性。與基本級內容相比，增強級中要求有所增加或變更的內容在正文中通過“黑體”表示。

6 安全技術要求

6.1 基本級安全技術要求

6.1.1 安全功能要求

6.1.1.1 檢測能力

6.1.1.1.1 資源發現

      產品應能發現Web應用中的各種URL，發現的URL比例應高于90％。URL發現包括但不限于：

      a）解析和執行JavaScript等腳本而獲得的URL；

      b）頁面文件包含的URL；

      c）Flash中內嵌的URL。

6.1.1.1.2 Web應用漏洞檢測

      產品應能檢測 Web應用漏洞，同類型漏洞的漏報率、誤報率應低于20％。漏洞類型包括但不限于：

      a) SQL注入漏洞，含基于Get、 st方式提交的應包括字符、數字和搜索等的注入漏洞；

      b）Cookie注入漏洞，含基于Cookie方式提交的應包括字符、數字和搜索等的注入漏洞；

      c) XSS漏洞，含基于  ost方式的跨站攻擊漏洞；

      d）CSRF漏洞；

      e) 目錄遍歷漏洞；

      f) 信息泄露漏洞，含路徑泄露、備份文件、源代碼泄露、目錄瀏覽和phpinfo等信息泄露漏洞；

      g) 認證方式脆弱，如弱口令等；

      h）文件包含漏洞，含遠程、本地方式的文件包含漏洞。

6.1.1.1.3 升級

      產品應具備漏洞特征庫的更新能力。

6.1.1.1.4 支持 HTTPS

      產品應能對基于HTTPS協議的Web應用進行檢測。

6.1.1.1.5 不影響目標對象

      產品在檢測過程中應避免影響目標Web應用的正常工作。

6.1.1.2 檢測任務管理

6.1.1.2.1 向導功能

      產品應提供向導功能，指導用戶進行正確配置。

6.1.1.2.2 檢測范圍

      產品應能按照以下條件配置檢測的范圍：

      a）指定域名和URL；

      b）檢測的深度；

      c）不檢測的URL，如登出、刪除等相關頁面。

6.1.1.2.3 登錄檢測

      產品應能基于登錄信息對Web應用進行檢測。如基于錄制信息、Cookie、Session和Token等一種或多種方式授權登錄并進行檢測。

6.1.1.2.4 策略選擇

      產品應能按照以下方式來選擇檢測策略：

      a）漏洞類型；

      b）漏洞危害級別。

6.1.1.2.5 檢測速度調節

      產品應能采用配置HTTP請求速度、檢測線程或進程數目等方式調節檢測速度。

6.1.1.2.6 任務定制

      產品應能按照計劃任務實現批量啟動檢測，并根據設置自動生成相應的結果。

6.1.1.2.7 進度控制

      產品應能對檢測進度進行以下控制：

      a）隨時停止；

      b）斷點續掃。

以上為標準部分內容，如需看標準全文，請到相關授權網站購買標準正版。