GB/T 37931-2019 信息安全技术 Web应用安全检测系统安全技术要求和测试评价方法

ICS35.040

L80

中华人民共和国国家标准

/—

GBT379312019

信息安全技术Web应用安全检测

系统安全技术要求和测试评价方法

—

InformationsecurittechnoloSecurittechnoloreuirementsandtestin

ygyygyqg

andevaluationaroachesforWebalicationsecuritdetectionsstem

ppppyy

2019-08-30发布2020-03-01实施

国家市场监督管理总局

发布

中国国家标准化管理委员会

/—

GBT379312019

目次

前言…………………………Ⅲ

1范围………………………1

2规范性引用文件…………………………1

3术语和定义………………1

4缩略语……………………1

5产品描述…………………2

6安全技术要求……………2

6.1基本级安全技术要求………………2

6.1.1安全功能要求…………………2

6.1.2自身安全要求…………………4

6.1.3安全保障要求…………………5

6.2增强级安全技术要求………………7

6.2.1安全功能要求…………………7

6.2.2自身安全要求…………………10

6.2.3安全保障要求…………………12

7测评方法…………………14

7.1基本级安全技术要求测评…………14

7.1.1安全功能测评…………………14

7.1.2自身安全测评…………………19

7.1.3安全保障要求测评……………22

7.2增强级安全技术要求测评…………25

7.2.1安全功能测评…………………25

7.2.2自身安全测评…………………32

7.2.3安全保障要求测评……………35

Ⅰ

/—

GBT379312019

前言

本标准按照/—给出的规则起草。

GBT1.12009

本标准由全国信息安全标准化技术委员会(/)提出并归口。

SACTC260

:()、

本标准起草单位公安部第三研究所公安部计算机信息系统安全产品质量监督检验中心国家信

、、()、

息技术安全研究中心杭州安恒信息技术股份有限公司网神信息技术北京股份有限公司北京神州

、、、

绿盟科技有限公司上海天泰网络技术有限公司北京天融信网络安全技术有限公司浙江省电子信息

、、。

产品检验所上海嘉韦思信息技术有限公司国家电网公司

:、、、、、、、、、、、

本标准主要起草人俞优贾徽徽杨元原陆臻邹春明顾健万仁忠李冰方进社纪崇廉李蒙

、、、、、、、、、、、、、、

刘楠张君沈亮范渊吴云坤叶晓虎程胜年雷晓锋孙小平王志佳金海俊王伟向智赵建飞

、、、、、、、、、、、。

邓琦曲晓东唐迪孟亚豪马海燕杨灼其蔡立军李静舒首衡吴舜刘永清连纪文

Ⅲ

/—

GBT379312019

信息安全技术Web应用安全检测

系统安全技术要求和测试评价方法

1范围

、。

本标准规定了Web应用安全检测系统的安全技术要求测评方法及等级划分

、。

本标准适用于Web应用安全检测系统的设计开发与测评

2规范性引用文件

。,

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文

。,()。

件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件

/—:

信息技术安全技术信息技术安全评估准则第部分安全保障组件

GBT18336.320153

/—信息安全技术术语

GBT250692010

3术语和定义

/—和/—界定的以及下列术语和定义适用于本文件。

GBT18336.32015GBT250692010

3.1

Web应用安全检测系统Webalicationsecuritdetectionsstem

ppyy

,,

对Web应用的安全性进行检测的产品能够依据策略对Web应用进行URL发现并对Web应用

漏洞进行检测。

3.2

URL发现URLdiscover

y

,,、

从一个URL开始发现通过该URL能够链接到的其他URL包括在网页中出现的完整的URL

、。

通过各种计算得出的URL各种跳转的URL等

3.3

变形检测deformationdetection

、,。

一种通过编码请求包变化等方法实现绕过防护过滤的检测机制

4缩略语

下列缩略语适用于本文件。

:()

CSRF跨站请求伪造CrossSiteReuestForer

qgy

:()

HTTP超文本传输协议HerTextTransferProtocol

yp

:(

HTTPS安全套接字层的超文本传输协议HerTextTransferProtocoloverSecureSocketLa-

ypy

)

er

:()

LDAP轻量目录访问协议LihtweihtDirectorAccessProtocol

ggy

:()

OWASP开放式网页应用程序安全项目OenWebAlicationSecuritProect

pppyj

1

/—

GBT379312019

:()

SQL结构化查询语言StructuredQuerLanuae

ygg

:,()

URL统一资源定位符也称网页地址UniversalResourceLocator

:()

XSS跨站脚本CrossSiteScritin

pg

5产品描述

、,,

Web应用安全检测系统采用URL发现Web漏洞检测等技术对Web应用的安全性进行分析安

,

全目的是为帮助应用开发者和管理者了解Web应用存在的脆弱性为改善并提升应用系统抵抗各类

(:、、),

Web应用攻击如注入攻击跨站脚本文件包含和信息泄露等的能力以帮助用户建立安全的Web

应用服务。

、

本标准将Web应用安全检测系统安全技术要求分为安全功能要求自身安全要求和安全保障要求

。,,

三个大类其中安全功能要求针对Web应用安全检测系统应具备的安全功能提出具体要求主要包

、;

括检测能力检测任务管理和检测结果分析处理等自身安全要求针对Web应用安全检测系统的标识

、;

与鉴别安全管理和审计日志提出具体要求安全保障要求针对Web应用安全检测系统的生命周期过

,、、。

程提出具体要求包括开发指导性文档生命周期支持和测试等

(“”)。

本标准将Web应用安全检测系统以下简称产品的安全等级分为基本级和增强级安全功能

,,。

与自身安全的强弱以及安全保障要求的高低是等级划分的具体依据安全等级突出安全特性与基本

,“”。

级内容相比增强级中要求有所增加或变更的内容在正文中通过黑体表示

6安全技术要求

6.1基本级安全技术要求

6.1.1安全功能要求

检测能力

.1资源发现

,。:

产品应能发现Web应用中的各种URL发现的URL比例应高于90%URL发现包括但不限于

)解析和执行等脚本而获得的;

aJavaScritURL

p

b)页面文件包含的URL;

)中内嵌的。

cFlashURL

.2Web应用漏洞检测

,、。

产品应能检测Web应用漏洞同类型漏洞的漏报率误报率应低于20%漏洞类型包括但不

限于:

),、、;

aSQL注入漏洞含基于GetPost方式提交的应包括字符数字和搜索等的注入漏洞

),、;

bCookie注入漏洞含基于Cookie方式提交的应包括字符数字和搜索等的注入漏洞

),、;

cXSS漏洞含基于GetPost方式的跨站攻击漏洞

)漏洞;

dCSRF

)目录遍历漏洞;

e

),、、、;

f信息泄露漏洞含路径泄露备份文件源代码泄露目录浏览和hinfo等信息泄露漏洞

pp

),;

g认证方式脆弱如弱口令等

2

/—

GBT379312019

),、。

h文件包含漏洞含远程本地方式的文件包含漏洞

.3升级

产品应具备漏洞特征库的更新能力。

.4支持HTTPS

产品应能对基于HTTPS协议的Web应用进行检测。

.5不影响目标对象

产品在检测过程中应避免影响目标Web应用的正常工作。

检测任务管理

.1向导功能

,。

产品应提供向导功能指导用户进行正确配置

.2检测范围

产品应能按照以下条件配置检测的范围:

)指定域名和;

aURL

b)检测的深度;

),、。

c不检测的URL如登出删除等相关页面

.3登录检测

。、、

产品应能基于登录信息对应用进行检测如基于录制信息和等一种

WebCookieSessionToken

或多种方式授权登录并进行检测。

.4策略选择

产品应能按照以下方式来选择检测策略:

)漏洞类型;

a

b)漏洞危害级别。

.5检测速度调节

、。

产品应能采用配置HTTP请求速度检测线程或进程数目等方式调节检测速度

.6任务定制

,。

产品应能按照计划任务实现批量启动检测并根据设置自动生成相应的结果

.7进度控制

产品应能对检测进度进行以下控制:

)随时停止;

a

b)断点续扫。

3

/—

GBT379312019

检测结果分析处理

.1结果验证

,、、、

产品应具备Web应用漏洞验证的功能能够提供参数进一步对XSS漏洞SQL注入点目录遍历

信息泄露和命令执行等漏洞进行验证。

.2结果保存

检测结果应非明文存储于掉电非易失性存储介质中。

.3统计分析

、。

产品应能根据检测结果对漏洞数量漏洞类型和危害级别进行统计分析

.4报告生成

,:

产品应能对检测结果进行分析并形成报告报告应包括

)、、;

a漏洞位置漏洞名称漏洞描述和危害级别等漏洞信息

b)漏洞修复建议。

.5报告输出

产品的检测报告应按以下要求输出:

),、;

常用文档格式如和

aDOCPDFHTML

b)以便于用户理解的方式展现。

6.1.2自身安全要求

标识与鉴别

.1用户标识

.1.1安全属性定义

,、、。

产品应为每个用户规定与之相关的安全属性如用户标识隶属组权限等

.1.2属性初始化

产品应具备使用默认值对创建的每个用户的属性进行初始化。

.1.3唯一性标识

,。

产品应为用户提供唯一标识同时将用户的身份标识与该用户的所有可审计事件相关联

.2身份鉴别

.2.1用户鉴别

产品应在执行任何安全功能操作前鉴别用户的身份。

.2.2鉴别信息保护

产品应采取技术措施保证用户鉴别信息不被未授权查阅或修改。

4

/—

GBT379312019

安全管理

.1管理能力

产品应允许授权用户进行以下管理:

)查看安全属性;

a

b)修改安全属性;

)、;

c启动关闭全部或部分安全功能

d)制定和修改各种安全策略。

.2安全角色管理

,、。

产品应具有至少两种不同权限的用户角色如操作员审计员等

.3远程安全传输

,。

若产品组件间通过网络进行通信应采取措施保障传输数据的安全性

审计日志

.1审计日志生成

产品应生成以下事件的审计日志:

)用户的登录成功和失败;

a

b)对安全策略进行配置的操作;

)、。

c对安全角色进行增加删除和属性修改的操作

、、、。

产品应在每一个审计日志记录中记录事件发生的日期时间用户标识事件描述和结果若采用

远程登录方式还应记录管理主机的地址。

IP

.2审计日志保存

审计日志应存储于掉电非易失性存储介质中。

.3审计日志管理

产品应提供以下审计日志管理功能:

)只允许授权用户访问审计日志;

a

)、;

b根据操作用户日期时间和操作类型等条件的查询和检索功能

)授权用户应能存档和导出审计日志。

c

6.1.3安全保障要求

开发

.1安全架构

,:

开发者应提供产品安全功能的安全架构描述安全架构描述应满足以下要求

)与产品设计文档中对安全功能的描述范围相一致;

a

)、。

b充分描述产品采取的自我保护不可旁路的安全机制

5

/—

GBT379312019

.2功能规范

,:

开发者应提供完备的功能规范功能规范应满足以下要求

)完整描述、中定义的功能;

a.2

)、;

b标识和描述产品所有安全功能接口的目的使用方法及相关参数

)描述安全功能接口相关的安全功能实施行为;

c

d)描述由安全功能实施行为处理而引起的直接错误消息。

.3产品设计

,:

开发者应提供产品设计文档产品设计文档应满足以下要求

),,

a通过子系统描述产品结构标识和描述产品安全功能的所有子系统并描述子系统间的相互

作用;

)提供子系统和安全功能接口间的对应关系。

b

指导性文档

.1操作用户指南

,:

开发者应提供明确和合理的操作用户指南对每一种用户角色的描述应满足以下要求

),;

a描述用户能够访问的功能和特权包含适当的警示信息

),;

b描述产品安全功能及接口的用户操作方法包括配置参数的安全值等

),;

c标识和描述产品运行的所有可能状态包括操作导致的失败或者操作性错误

d)描述实现产品安全目的必需执行的安全策略。

.2准备程序

,:

开发者应提供产品及其准备程序准备程序描述应满足以下要求

)描述与开发者交付程序相一致的安全接收所交付产品必需的所有步骤;

a

)描述安全安装产品及其运行环境必需的所有步骤。

b

生命周期支持

.1配置管理能力

开发者的配置管理能力应满足以下要求:

)为产品的不同版本提供唯一的标识;

a

),;

b使用配置管理系统对组成产品的所有配置项进行维护并进行唯一标识

),。

c提供配置管理文档配置管理文档描述用于唯一标识配置项的方法

.2配置管理范围

,。、

开发者应提供产品配置项列表并说明配置项的开发者配置项列表至少包含产品安全保障要求

的评估证据和产品的组成部分。

.3交付程序

,。,

开发者应使用规定的交付程序交付产品并将交付过程文档化在给用户方交付各版本产品时交

付文档应描述为维护安全所必需的所有程序。

6

/—

GBT379312019

测试

.1测试覆盖

,

开发者应提供测试覆盖文档测试覆盖描述应表明测试文档中所标识的测试项目与功能规范中所

描述产品安全功能的对应性。

.2功能测试

,。:

开发者应测试产品安全功能并提供测试文档测试文档应包括以下内容

),,;

a测试计划标识要执行的测试并描述执行每个测试的方案

),;

b预期的测评结果表明测试成功后的预期输出

)实际测评结果和预期的测评结果的对比。

c

.3独立测试

,。

开发者应提供一组与其自测安全功能时使用的同等资源以用于安全功能的抽样测试

脆弱性评定

,。

基于已标识的潜在脆弱性产品能够抵抗基本攻击

6.2增强级安全技术要求

6.2.1安全功能要求

检测能力

.1资源发现

,。:

产品应能发现Web应用中的各种URL发现的URL比例应高于90%URL发现包括但不限于

)解析和执行等脚本而获得的;

aJavaScritURL

p

b)页面文件包括的URL;

)、中内嵌的。

cFlashFlexURL

.2Web应用漏洞检测

,、。

产品应能检测Web应用漏洞同类型漏洞的漏报率误报率应低于20%漏洞类型包括但不

限于:

),、、;

aSQL注入漏洞含基于GetPost方式提交的应包括字符数字和搜索等的注入漏洞

),、;

bCookie注入漏洞含基于Cookie方式提交的应包括字符数字和搜索等的注入漏洞

),、、;

漏洞含基于和方式的跨站攻击漏洞

cXSSGetPostReferrerCookie

)漏洞;

dCSRF

)目录遍历漏洞;

e

),、、、;

f信息泄露漏洞含路径泄露备份文件源代码泄露目录浏览和hinfo等信息泄露漏洞

pp

),、;

g认证方式脆弱如各种登录绕过弱口令等

),、;

h文件包含漏洞含远程本地方式的文件包含漏洞

)命令执行漏洞;

i

),、;

j第三方组件漏洞如Struts2FCKeditor编辑器等

7

/—

GBT379312019

)注入漏洞;

kLDAP

)注入漏洞。

lXPath

.3变形检测

,、、

产品应支持Web应用漏洞的变形检测如大小写随机转换多种绕过空格限制空格替换和URL

编码等机制。

.4内容检测

产品应能对目标Web应用的以下内容进行检测:

)不属于目标系统的外链;

a

b)目标系统内的坏链;

)目标系统内的暗链;

c

d)敏感关键字。

.5升级

产品应具备以下升级:

)漏洞特征库的更新;

a

),,、。

b至少采取一种安全机制保证升级的时效性如自动升级更新通知等手段

.6支持HTTPS

产品应能对基于HTTPS协议的Web应用进行检测。

.7不影响目标对象

产品在检测过程中应避免影响目标Web应用的正常工作。

检测任务管理

.1向导功能

,。

产品应提供向导功能指导用户进行正确配置

.2检测范围

产品应能按照以下条件配置检测的范围:

)指定域名和;

aURL

b)检测的深度;

),、;

c不检测的URL如登出删除等相关页面

d)路径模式排重;

)路径模式大小写区分。

e

.3登录检测

。、、

产品应能基于登录信息对应用进行检测如基于录制信息和等一种

WebCookieSessionToken

或多种方式授权登录并进行检测。

8

/—

GBT379312019

.4检测策略

.4.1策略选择

产品应能按照以下方式来选择检测策略:

)漏洞类型;

a

b)漏洞危害级别;

)系统指纹信息。

cWeb

.4.2策略扩展

,。

产品应能自定义检测策略对已有策略进行扩展

.5检测速度调节

产品应能根据以下方式调节检测速度:

)、;

a配置HTTP请求速度检测线程或进程数目等

b)分布式部署检测引擎;

)多引擎负载均衡。

c

.6任务定制

、、,

产品应能按照计划任务实现批量定时指定时间段和周期性启动检测并根据设置自动生成相应

的结果。

.7进度控制

产品应能对检测进度进行以下控制:

)随时停止;

a

b)断点续扫;

),。

c检测未结束的情况下能够将已经检测的部分展示并导出报告

检测结果分析处理

.1结果验证

,:

产品应具备Web应用漏洞验证的功能包括

)、、、;

a提供参数进一步对XSS漏洞SQL注入点目录遍历信息泄露和命令执行等漏洞进行验证

b)提供自动化工具验证漏洞。

.2结果保存

检测结果应非明文存储于掉电非易失性存储介质中。

.3统计分析

、。

产品应能根据检测结果对漏洞数量漏洞类型和危害级别进行统计分析

.4报告生成

,:

产品应能对检测结果进行分析并形成报告报告应包括

9

/—

GBT379312019

)、、;

a漏洞位置漏洞名称漏洞描述和危害级别等漏洞信息

b)漏洞修复建议;

)支持导出行业合规报告;

c

),;

d编辑和自定义设计报告支持添加自定义注释或详细信息

)支持批量导出报告;

e

)、。

f支持根据横向纵向比较的趋势分析报告

.5报告输出

产品的检测报告应按以下要求输出:

),、;

常用文档格式如和

aDOCPDFHTML

b)以便于用户理解的方式展现。

互动性要求

、。,

产品应提供或采用一个标准的开放的接口遵照该接口规范可为其他类型安全产品编写相应的

,。

程序模块达到与产品进行互动的目的

6.2.2自身安全要求

标识与鉴别

.1用户标识

.1.1安全属性定义

,、、。

产品应为每个用户规定与之相关的安全属性如用户标识隶属组权限等

.1.2属性初始化

产品应具备使用默认值对创建的每个用户的属性进行初始化。

.1.3唯一性标识

,。

产品应为用户提供唯一标识同时将用户的身份标识与该用户的所有可审计事件相关联

.2身份鉴别

.2.1用户鉴别

产品应在执行任何安全功能操作前鉴别用户的身份。

.2.2鉴别信息保护

产品应采取技术措施保证用户鉴别信息不被未授权查阅或修改。

.2.3鉴别失败处理