GA/T 1107-2013 信息安全技术 web应用安全扫描产品安全技术要求

ICS35.240

A90

中华人民共和国公共安全行业标准

/—

GAT11072013

信息安全技术

web应用安全扫描产品安全技术要求

ㅤㅤㅤㅤ

Informationsecurittechnolo—

ygy

Securittechnicalreuirementsforwebalicationsecuritscanninroducts

yqppygp

2013-10-15发布2013-10-15实施

中华人民共和国公安部发布

/—

GAT11072013

目次

前言…………………………Ⅲ

1范围………………………1

2规范性引用文件…………………………1

3术语和定义………………1

4缩略语……………………2

5安全功能要求……………3

6性能要求…………………5

7自身安全功能要求………………………5

8安全保证要求……………7

9等级划分要求……………

10

ㅤㅤㅤㅤ

Ⅰ

/—

GAT11072013

信息安全技术

web应用安全扫描产品安全技术要求

1范围

、、、

本标准规定了web应用安全扫描产品的安全功能要求性能要求自身安全功能要求安全保证要

求及等级划分要求。

、。

本标准适用于web应用安全扫描产品的设计开发及检测

2规范性引用文件

。,

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文

。,()。

件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件

—计算机信息系统安全保护等级划分准则

GB178591999

/—:

信息技术安全技术信息技术安全性评估准则第部分安全保证

GBT18336.320083

要求

/—信息安全技术术语

GBT250692010

ㅤㅤㅤㅤ

3术语和定义

—、/—和/—界定的以及下列术语和定义适用

GB178591999GBT18336.32008GBT250692010

于本文件。

3.1

应用安全扫描产品curitscanninroduct

webwebalicationseygp

pp

,

一种扫描发现web系统应用层安全漏洞的产品能够依据策略对web应用系统进行URL发现并

,。

扫描对发现的安全漏洞提出相应的改进意见

3.2

应用

webwebalication

pp

、,,

由动态脚本编译过的代码等组合而成的应用通常架设在web服务器上用户在web浏览器上发

,,,

送请求这些请求使用HTTP协议经过网络和web应用交互由web应用和后台的数据库及其他动

态内容通信。

3.3

URL发现URLdetection

,,

通过访问一个URL发现通过该URL能够链接到的其他URL的过程能够发现的URL包括在

、、。

网页中出现的完整的URL通过各种计算得出的URL各种跳转的URL等

3.4

服务

webwebservice

,。

一个基于WSDL文件的应用程序向外界提供一个能够通过web进行调用的APIWSDL是一

,、。

个基于XML的语言用于描述webservice及其函数参数和返回值

1

/—

GAT11072013

3.5

SL注入SLinection

QQj

、,

把SQL命令插入到web表单递交或者输入域名页面请求的查询字符串中以达到欺骗服务器执

行恶意SQL命令的目的。

3.6

注入

cookiecookieinection

j

通过构造特定的cookie值实现对web应用系统后台数据库的非法操作。

3.7

跨站脚本crosssitescritin

pg

,,

恶意攻击者往web页面里插入恶意HTML代码当用户浏览该页面时嵌入web页面里面的

,。

HTML代码会被执行从而达到恶意攻击用户的目的

3.8

跨站请求伪造crosssitereuestforer

qgy

通过伪装来自受信任用户的请求来利用受信任的网站来完成一定的操作。

3.9

变形检测deformationdetection

、,。

一种通过编码请求包变化等方法实现绕过防护过滤的机制

3.10

误报率falseositiverate

p

判断错误的漏洞数量占所有发现到的同类型漏洞。

总数的比例例如被产品错误判断为存在SQL

ㅤㅤㅤㅤ

注入漏洞的网页占发现的全部存在SQL注入漏洞的网页的比例。

3.11

漏报率falseneativerate

g

。

未发现的漏洞数量占扫描范围内实际同类型漏洞总数的比例例如产品未发现的SQL注入点占

扫描范围内实际注入点总数的比例。

4缩略语

下列缩略语适用于本文件。

:()

CSRF跨站请求伪造CrossSiteReuestForer

qgy

:()

HTML超文本标记语言HerTextMarkuLanuae

yppgg

:()

HTTP超文本传输协议HerTextTransferProtocol

yp

:()

HTTPS安全超文本传输协议HertextTransferProtocoloverSecureSocketLaer

ypy

:()

IP网际协议InternetProtocol

:()

SQL结构化查询语言StructuredQuerLanuae

ygg

:()

SSL安全套接层SecureSocketsLaer

y

:,()

URL统一资源定位符也称网页地址UniversalResourceLocator

:服务描述语言()

WSDLwebWebServicesDescritionLanuae

pgg

:()

XML可扩展标记语言ExtensibleMarkuLanuae

pgg

:()

XSS跨站脚本CrossSiteScritin

pg

2

/—

GAT11072013

5安全功能要求

5.1扫描能力

5.1.1资源发现

产品应能发现应用中的以下各种,:

webURL并至少以树型结构呈现

)解析等脚本而获得的;

aavascritURL

jp

)执行等脚本而获得的;

bavascritURL

jp

)页面文件包括的;

cURL

)中内嵌的。

dflashURL

5.1.2漏洞检测

,:

产品应能检测出web应用漏洞至少包括以下内容

),、、、;

aSQL注入漏洞支持基于etost方式提交的至少包括字符数字搜索等的注入漏洞

gp

),、