ICS

35.240.50CCS

L

6733 DB33/T

2419—2021基于安全檢測插件的

Web

應(yīng)用系統(tǒng)安全檢測技術(shù)規(guī)范Technical

detection

of

web

application

based

on

security

plug-in 浙江省市場監(jiān)督管理局發(fā)

布DB33/T

2419—2021 前言

.................................................................................

II1

...............................................................................

12 規(guī)范性引用文件

.....................................................................

13 術(shù)語和定義

.........................................................................

14 縮略語

.............................................................................

25 安全檢測總體要求

...................................................................

26 安全檢測插件技術(shù)要求

...............................................................

47

.............................................................

68 接口安全要求

.......................................................................

7DB33/T

2419—2021 本標(biāo)準(zhǔn)按照GB/T

—《標(biāo)準(zhǔn)化工作導(dǎo)則 第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請(qǐng)注意本標(biāo)準(zhǔn)的某些內(nèi)容可能涉及專利。本標(biāo)準(zhǔn)的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任。本標(biāo)準(zhǔn)由浙江警察學(xué)院提出。本標(biāo)準(zhǔn)由浙江省公安廳歸口。大標(biāo)準(zhǔn)信息有限公司。王寧、黃克鑫、胡博。本標(biāo)準(zhǔn)為首次發(fā)布。IIDB33/T

2419—2021

1范圍本標(biāo)準(zhǔn)規(guī)定了安全檢測插件、安全檢測控制臺(tái)的術(shù)語和定義，規(guī)定了基于安全檢測插件的Web系統(tǒng)安全檢測總體要求、安全檢測插件技術(shù)要求、安全檢測控制臺(tái)功能要求、接口安全要求。本標(biāo)準(zhǔn)適用于基于安全檢測插件的應(yīng)用系統(tǒng)安全檢測技術(shù)的設(shè)計(jì)、開發(fā)和使用。2 規(guī)范性引用文件標(biāo)準(zhǔn)。GB/T

11457—2006 信息技術(shù) 軟件工程術(shù)語GB/T

25069—2010 信息安全技術(shù) 術(shù)語3 術(shù)語和定義GB/T

11457—2006和GB/T

25069—2010界定的以及下列術(shù)語和定義適用于本標(biāo)準(zhǔn)。3.1程序插裝 program

instrumentationa)

插入到計(jì)算機(jī)程序中的探頭。如指令或斷言，以利于執(zhí)行監(jiān)控、正確性證明、資源監(jiān)控或其他活動(dòng)。b)

準(zhǔn)備探頭并把它插入到計(jì)算機(jī)程序中去的過程。[來源：GB/T

11457—2006，2.1235]3.2追蹤 trace顧的蹤跡、子例程蹤跡、符號(hào)蹤跡、變量蹤跡。[來源：GB/T

11457—2006，2.1751，有修改]3.3加密 encipherment/encryption參量。輸入?yún)⒘客ǔ１环Q為密鑰。[來源：GB/T

25069—2010，0]3.4安全檢測插件 security

detection

plug-in通過程序插裝和追蹤等方法，檢測應(yīng)用程序漏洞，識(shí)別應(yīng)用程序開源組件的動(dòng)態(tài)分析部件。DB33/T

2419—20213.5安全檢測控制臺(tái)

detection

統(tǒng)。4 縮略語下列縮略語適用于本標(biāo)準(zhǔn)。API：應(yīng)用編程接口（

Interface）HTTP：超文本傳輸協(xié)議

Transfer

JSON：JavaScript對(duì)象表示法

Object

Notation)SQL：結(jié)構(gòu)查詢語言（Structure

Query

Language）URL：統(tǒng)一資源定位符（

Resource

）XML：可擴(kuò)展標(biāo)記語言（

）5安全檢測總體要求5.1技術(shù)架構(gòu)基于安全檢測插件的WebWeb1Web安全性進(jìn)行分析，發(fā)現(xiàn)應(yīng)用的漏洞、識(shí)別應(yīng)用中開源組件漏洞和許可類型。檢測系統(tǒng)用于應(yīng)用軟件生存周期的測試和運(yùn)行階段，目的是為幫助應(yīng)用開發(fā)者和管理者了解應(yīng)用存在的脆弱性和開源組件的許可類型，改善并提升應(yīng)用系統(tǒng)抵抗各類應(yīng)用攻擊（如：注入攻擊、跨站腳本攻擊、文件Web應(yīng)用服務(wù)。應(yīng)用系統(tǒng)使用檢測系統(tǒng)進(jìn)行Web應(yīng)用系統(tǒng)執(zhí)行功能測試用于驅(qū)動(dòng)安全檢測插件的安全性分析。DB33/T

2419—2021

安全檢測控制臺(tái)……

…………

……

Web

應(yīng)用系統(tǒng)管理安全管理

Web

應(yīng)用系統(tǒng)

…… 圖1技術(shù)架構(gòu)5.2 基本要求5.2.1檢測對(duì)象影響檢測系統(tǒng)應(yīng)避免影響目標(biāo)應(yīng)用的正常工作，例如應(yīng)避免產(chǎn)生臟數(shù)據(jù)和臟操作。5.2.2 安全驗(yàn)證 代碼安全審計(jì)檢測系統(tǒng)發(fā)布前應(yīng)對(duì)安全檢測插件執(zhí)行代碼安全審計(jì)，減少代碼中存在的脆弱性問題。 安全功能測試檢測系統(tǒng)發(fā)布前應(yīng)對(duì)安全檢測控制臺(tái)的安全功能進(jìn)行安全性測試。 安全性評(píng)定級(jí)的漏洞，方可準(zhǔn)許上線運(yùn)行。DB33/T

2419—20215.3 安全檢測5.3.1 安全檢測插件安裝檢測對(duì)象的所有Web應(yīng)用服務(wù)應(yīng)安裝安全檢測插件，安全控制臺(tái)能正常識(shí)別安全檢測插件的在線狀態(tài)。5.3.2 執(zhí)行檢測件風(fēng)險(xiǎn)，功能測試用例應(yīng)覆蓋應(yīng)用的全部功能和接口。6 安全檢測插件技術(shù)要求6.1 適應(yīng)能力應(yīng)能適應(yīng)具有安全機(jī)制的Web證機(jī)制、基于不可重復(fù)資源訪問控制機(jī)制時(shí)仍能檢測漏洞。6.2 工作模式6.2.1 應(yīng)具備以下工作模式：a)

失效模式，安全檢測功能關(guān)閉；b)

檢測模式，安全檢測功能開啟。6.2.2 應(yīng)具備根據(jù)以下條件自動(dòng)切換工作模式的能力：a)

檢測對(duì)象所在服務(wù)器的

使用率、內(nèi)存使用率；b)

檢測對(duì)象

服務(wù)的響應(yīng)時(shí)間、追蹤層次數(shù)量。6.3 漏洞檢測安全檢測插件應(yīng)能識(shí)別的應(yīng)用漏洞包括但不限于以下內(nèi)容：a)

輸入驗(yàn)證錯(cuò)誤類——Hibernate

注入漏洞；——命令注入漏洞；——

注入漏洞；——JAVA

反射注入漏洞；——

路徑注入漏洞；——簡單郵件傳輸協(xié)議注入漏洞；——表達(dá)式注入漏洞；——

外部實(shí)體注入漏洞；——輕量級(jí)目錄訪問注入漏洞；——NoSQL

注入漏洞；——服務(wù)器端請(qǐng)求偽造漏洞；——跨站腳本攻擊漏洞；DB33/T

2419—2021——HTTP

響應(yīng)分割漏洞；——日志注入漏洞；——目錄遍歷漏洞；——文件包含漏洞；——

跳轉(zhuǎn)漏洞；——JSON

劫持漏洞；——文件流拒絕服務(wù)漏洞；——跨站請(qǐng)求偽造漏洞；——正則表達(dá)式拒絕服務(wù)漏洞。b)

授權(quán)問題類——弱口令漏洞；——反序列化漏洞。c)

配置錯(cuò)誤類——不安全的

HTTP

方法漏洞；——不安全的

訪問漏洞；——會(huì)話超時(shí)時(shí)間配置不當(dāng)漏洞；——

服務(wù)器版本泄露漏洞；——不充分的

連接漏洞；——不安全的認(rèn)證漏洞；——HTTP

報(bào)文安全頭缺失漏洞；——HTTP

報(bào)文安全頭配置不當(dāng)漏洞；——缺少自定義錯(cuò)誤頁面漏洞。d)

處理邏輯錯(cuò)誤類——會(huì)話重寫漏洞；——服務(wù)器請(qǐng)求不安全的資源漏洞；——不安全登出漏洞。e)

加密問題類——使用弱加密算法漏洞；——使用弱隨機(jī)數(shù)漏洞；——密碼硬編碼漏洞；——

敏感信息泄露漏洞。

GB/T

30279-2020

6.4 漏洞驗(yàn)證6.4.1 應(yīng)能自動(dòng)驗(yàn)證漏洞的可利用性。6.4.2 應(yīng)能根據(jù)漏洞的

URL、類型等參數(shù)控制自動(dòng)驗(yàn)證功能的啟停。6.5 開源組件分析6.5.1 漏洞分析應(yīng)能識(shí)別應(yīng)用中引入的開源組件，并能結(jié)合漏洞數(shù)據(jù)庫分析組件存在的已知漏洞。DB33/T

2419—20216.5.2 許可分析應(yīng)能識(shí)別開源組件所使用的許可類型。6.5.3 漏洞數(shù)據(jù)庫披露的漏洞信息。6.5.4漏洞庫更新應(yīng)支持離線、在線更新漏洞數(shù)據(jù)庫，在線自動(dòng)更新間隔時(shí)間應(yīng)小于72小時(shí)。6.6 環(huán)境兼容性6.6.1 語言兼容應(yīng)兼容JAVA、、、等主流Web開發(fā)語言。6.6.2 操作系統(tǒng)兼容應(yīng)兼容Windows、CentOS、Ubuntu、RedHat、統(tǒng)信、中標(biāo)麒麟等主流操作系統(tǒng)。6.6.3 開發(fā)框架兼容應(yīng)兼容Spring、Spring

Cloud、Spring

Cloud

、ASP.NET、ThinkPHP、Django等主流開發(fā)框架類型。6.6.4 應(yīng)用服務(wù)器兼容應(yīng)兼容Nginx、Apache、Tomcat、、WebLogic、WebSphereWeb應(yīng)用服務(wù)器。7 安全檢測控制臺(tái)功能要求7.1 安全檢測插件管理7.1.1

應(yīng)具備安全檢測插件安裝向?qū)У墓δ堋?.1.2

應(yīng)具備供安全檢測插件工作模式管理的功能。7.1.3

應(yīng)具備安全檢測插件升級(jí)管理的功能。7.1.4

應(yīng)具備集中管理安全檢測插件的功能，并滿足以下要求：a)

支持管理安全檢測插件的運(yùn)行狀態(tài)；b)

支持管理安全檢測插件的工作模式；c)

支持在線診斷安全檢測插件的插裝狀態(tài)、追蹤狀態(tài)等內(nèi)容。7.1.5

應(yīng)具備安全檢測插件在線日志收集的功能。7.2 檢測策略7.2.1 應(yīng)具備選擇漏洞檢測規(guī)則的功能。7.2.2 應(yīng)具備根據(jù)漏洞的

、類型等參數(shù)配置漏洞驗(yàn)證規(guī)則的功能。DB33/T

2419—20217.2.3 應(yīng)具備增加安全函數(shù)/方法的功能,

對(duì)已有的漏洞檢測規(guī)則進(jìn)行補(bǔ)充。(Validating)(Sanitizing)(Escaping)7.2.4 應(yīng)具備增加監(jiān)控

Web

應(yīng)用的函數(shù)/方法的功能，對(duì)已有的監(jiān)控函數(shù)/方法進(jìn)行擴(kuò)展。7.2.5應(yīng)具備增加漏洞檢測規(guī)則的功能，對(duì)已有的漏洞檢測規(guī)則進(jìn)行擴(kuò)展。7.2.6 應(yīng)具備根據(jù)用戶請(qǐng)求的源

IP

地址、、HTTP

應(yīng)用程序包名等信息創(chuàng)建排除規(guī)則的功能。Web7.3 檢測結(jié)果分析處理7.3.1 漏洞信息應(yīng)提供以下漏洞的相關(guān)信息：a)

應(yīng)提供漏洞的形成原因、檢測依據(jù)、漏洞風(fēng)險(xiǎn)、修復(fù)建議、代碼示例等內(nèi)容；b)

應(yīng)提供漏洞檢測時(shí)的請(qǐng)求信息、響應(yīng)信息、漏洞代碼位置、程序追蹤過程、代碼調(diào)用棧等環(huán)境信息。7.3.2 漏洞管理應(yīng)提供以下漏洞管理的功能：a) 應(yīng)提供漏洞狀態(tài)管理的功能；b) 應(yīng)提供狀態(tài)名稱自定義的功能。7.3.3 統(tǒng)計(jì)分析應(yīng)提供以下統(tǒng)計(jì)分析的功能：a) 應(yīng)提供漏洞修復(fù)率、漏洞平均修復(fù)時(shí)間的統(tǒng)計(jì)分析的功能；b) 應(yīng)提供Web應(yīng)用不同版本之間的漏洞狀態(tài)對(duì)比分析的功能。7.4 報(bào)告管理應(yīng)支持生成

Word、Excel

等格式的報(bào)告。7.5 日志管理應(yīng)提供檢測系統(tǒng)的運(yùn)行日志、操作審計(jì)日志、安全檢測插件日志，滿足以下要求：a) 應(yīng)提供系統(tǒng)關(guān)鍵錯(cuò)誤信息；b) 應(yīng)提供操作審計(jì)日志，記錄事件發(fā)生的日期、時(shí)間、用戶標(biāo)識(shí)、事件描述和結(jié)果；c) 應(yīng)提供安全檢測插件關(guān)鍵錯(cuò)誤日志。7.6 事件管理應(yīng)支持根據(jù)預(yù)設(shè)事件條件自動(dòng)觸發(fā)處置動(dòng)作，例如在發(fā)現(xiàn)新漏洞時(shí)自動(dòng)調(diào)用外部系統(tǒng)創(chuàng)建工單。8 接口安全要求DB33/T

2419—20218.1 通信接口安全檢測插件應(yīng)提供通信接口，滿足以下要求：a)

實(shí)現(xiàn)的通過接口可對(duì)調(diào)用者進(jìn)行身份認(rèn)證，調(diào)用該接口的安全檢測控制臺(tái)須通過身份認(rèn)證后才能對(duì)安全檢測插件進(jìn)行管理；b)

安全檢測控制臺(tái)和安全檢測插件之間傳輸檢測策略或回傳安全日志時(shí)，需確保通信安全和數(shù)據(jù)安全，防止重放、竊聽或篡改攻擊。8.2 通信協(xié)議安全檢測控制臺(tái)與安全檢測插件之間的通信接口應(yīng)滿足如下通信協(xié)議要求：a)

管理命令請(qǐng)求和響應(yīng)消息格式應(yīng)滿足

JSON

b)

管理命令請(qǐng)求和響應(yīng)消息應(yīng)分別封裝在

HTTP

協(xié)議請(qǐng)求消息和響應(yīng)消息中進(jìn)行傳輸；c)

將

JSON

HTTP

協(xié)議前，應(yīng)進(jìn)行加密和編碼處理。8.3安全連接密鑰管理有效性，具體應(yīng)滿足如下要求：a)

應(yīng)在安全檢測插件安裝