DB33／T 2419-2021  基于安全檢測(cè)插件的Web應(yīng)用系統(tǒng)安全檢測(cè)技術(shù)規(guī)范

根據(jù)檢測(cè)系統(tǒng)代碼安全審計(jì)和安全功能測(cè)試的結(jié)果評(píng)定其安全性，檢測(cè)系統(tǒng)自身不存中危及以 的漏洞，方可準(zhǔn)許上線運(yùn)行。

DB33/T2419202

給水標(biāo)準(zhǔn)規(guī)范范本5.3.1安全檢測(cè)插件安裝

驗(yàn)測(cè)對(duì)象的所有Web應(yīng)用服務(wù)應(yīng)安裝安全檢測(cè)插件，安全控制臺(tái)能正常識(shí)別安全檢測(cè)插件的在線

5. 3. 2 執(zhí)行檢測(cè)

執(zhí)行檢測(cè)對(duì)象功能測(cè)試用例，用于驅(qū)動(dòng)安全檢測(cè)插件的安全性分析，識(shí)別檢測(cè)對(duì)象的漏洞和開源組 件風(fēng)險(xiǎn)，功能測(cè)試用例應(yīng)覆蓋Web應(yīng)用的全部功能和接口

6安全檢測(cè)插件技術(shù)要求

應(yīng)能適應(yīng)具有安全機(jī)制的web應(yīng)用系統(tǒng)的安全檢測(cè)，例如在web應(yīng)用使用傳輸報(bào)文加密機(jī)制 證機(jī)制、基于不可重復(fù)資源訪問(wèn)控制機(jī)制時(shí)仍能檢測(cè)漏洞，

a）失效模式，安全檢測(cè)功能關(guān)閉；

6.2.2應(yīng)具備根據(jù)以下條件自動(dòng)切換工作模式

a）檢測(cè)對(duì)象所在服務(wù)器的CPU使用率、內(nèi)存使用率； b）檢測(cè)對(duì)象Web服務(wù)的響應(yīng)時(shí)間、追蹤層次數(shù)量，

DB33/T2419202

6.4.1應(yīng)能自動(dòng)驗(yàn)證漏洞的可利用性。 6.4.2應(yīng)能根據(jù)漏洞的URL、類型等參數(shù)控制自動(dòng)驗(yàn)證功能的啟停

6. 5. 1漏洞分析

DB33/T2419202

應(yīng)能識(shí)別開源組件所使用的許可類型。

應(yīng)包括中國(guó)國(guó)家信息安全漏洞庫(kù)、國(guó)家信息安全漏洞共享平臺(tái)、美國(guó)國(guó)家通用漏洞數(shù)據(jù)庫(kù) 披露的漏洞信息。

離線、在線更新漏洞數(shù)據(jù)庫(kù)，在線自動(dòng)更新間

空J(rèn)AVA、PHP、C#、Python等主流Web開發(fā)語(yǔ)言。

6. 6. 2 操作系統(tǒng)兼容

6. 6.3開發(fā)框架兼容

應(yīng)兼容Spring、Spring Cloud、SpringCloudAlibaba、ASP.NET、ThinkPHP、Django等主流Web 開發(fā)框架類型。

6.6.4應(yīng)用服務(wù)器兼容

應(yīng)兼容Nginx、Apache、Tomcat、IIS、WebLogic、WebSphere、東方通、寶蘭德等主流Web應(yīng)用服務(wù) 器。

7安全檢測(cè)控制臺(tái)功能要求

7.1安全檢測(cè)插件管理

7.1.1應(yīng)具備安全檢測(cè)插件安裝向?qū)У墓δ堋?/p>

a）支持管理安全檢測(cè)插件的運(yùn)行狀態(tài)； b）支持管理安全檢測(cè)插件的工作模式； c）支持在線診斷安全檢測(cè)插件的插裝狀態(tài)、追蹤狀態(tài)等內(nèi)容。 7.1.5應(yīng)具備安全檢測(cè)插件在線日志收集的功能。

7.2.1應(yīng)具備選擇漏洞檢測(cè)規(guī)則的功能。 7.2.2應(yīng)具備根據(jù)漏洞的URL、類型等參數(shù)配置漏洞驗(yàn)證規(guī)則的功能

7.2.2應(yīng)具備根據(jù)漏洞的URL、類型等參數(shù)配置漏洞驗(yàn)證規(guī)則的

DB33/T2419202

7.2.3應(yīng)具備增加安全函數(shù)/方法的功能，對(duì)已有的漏洞檢測(cè)規(guī)則進(jìn)行補(bǔ)充。 注：安全函數(shù)/方法是指Web應(yīng)用開發(fā)過(guò)程中為保證安全用于數(shù)據(jù)驗(yàn)證（Validating）、凈化（Sanitizing）和轉(zhuǎn)義 (Escaping)）的函數(shù)或方法。 7.2.4應(yīng)具備增加監(jiān)控Web應(yīng)用的函數(shù)/方法的功能，對(duì)已有的監(jiān)控函數(shù)/方法進(jìn)行擴(kuò)展。 7.2.5應(yīng)具備增加漏洞檢測(cè)規(guī)則的功能，對(duì)已有的漏洞檢測(cè)規(guī)則進(jìn)行擴(kuò)展 7.2.6應(yīng)具備根據(jù)用戶請(qǐng)求的源IP地址、URL、HTTP參數(shù)，以及Web應(yīng)用程序包名等信息創(chuàng)建排除規(guī) 則的功能。 注：排除規(guī)則是用于定義安全檢測(cè)插件不執(zhí)行漏洞檢測(cè)的條件。當(dāng)排除規(guī)則生效后，滿足排除規(guī)則所定義的用戶請(qǐng) 求不執(zhí)行漏洞檢測(cè)，滿足程序包名條件的Web應(yīng)用模塊不執(zhí)行漏洞檢測(cè)

7.3檢測(cè)結(jié)果分析處理

應(yīng)提供以下漏洞的相關(guān)信息： a 應(yīng)提供漏洞的形成原因、檢測(cè)依據(jù)、漏洞風(fēng)險(xiǎn)、修復(fù)建議、代碼示例等內(nèi)容； b）應(yīng)提供漏洞檢測(cè)時(shí)的請(qǐng)求信息、響應(yīng)信息、漏洞代碼位置、程序追蹤過(guò)程、代碼調(diào)用棧等環(huán) 境信息。

7. 3. 2漏洞管理

應(yīng)提供以下漏洞管理的功能： a）應(yīng)提供漏洞狀態(tài)管理的功能； b）應(yīng)提供狀態(tài)名稱自定義的功能

7.3. 3 統(tǒng)計(jì)分析

應(yīng)提供以下統(tǒng)計(jì)分析的功能： a）應(yīng)提供漏洞修復(fù)率、漏洞平均修復(fù)時(shí)間的統(tǒng)計(jì)分析的功能 b）應(yīng)提供Web應(yīng)用不同版本之間的漏洞狀態(tài)對(duì)比分析的功能。

應(yīng)支持生成Word、Excel等格式的報(bào)告。

應(yīng)提供檢測(cè)系統(tǒng)的運(yùn)行日志、操作審計(jì)日志、安全檢測(cè)插件日志，滿足以下要求： a）應(yīng)提供系統(tǒng)關(guān)鍵錯(cuò)誤信息； b）應(yīng)提供操作審計(jì)日志edi標(biāo)準(zhǔn)，記錄事件發(fā)生的日期、時(shí)間、用戶標(biāo)識(shí)、事件描述和結(jié)果； C）應(yīng)提供安全檢測(cè)插件關(guān)鍵錯(cuò)誤日志，

應(yīng)支持根據(jù)預(yù)設(shè)事件條件自動(dòng)觸發(fā)處置動(dòng)作，例如在發(fā)現(xiàn)新漏洞時(shí)自動(dòng)調(diào)用外部系統(tǒng)創(chuàng)建工

DB33/T2419202

安全檢測(cè)插件應(yīng)提供通信接口，滿足以下要求： a）實(shí)現(xiàn)的通過(guò)接口可對(duì)調(diào)用者進(jìn)行身份認(rèn)證，調(diào)用該接口的安全檢測(cè)控制臺(tái)須通過(guò)身份認(rèn)證后 才能對(duì)安全檢測(cè)插件進(jìn)行管理； b） 安全檢測(cè)控制臺(tái)和安全檢測(cè)插件之間傳輸檢測(cè)策略或回傳安全日志時(shí)，需確保通信安全和數(shù) 據(jù)安全，防止重放、竊聽或纂改攻擊。

安全檢測(cè)控制臺(tái)與安全檢測(cè)插件之間的通信接口應(yīng)滿足如下通信協(xié)議要求： a）管理命令請(qǐng)求和響應(yīng)消息格式應(yīng)滿足JSON格式要求； b 管理命令請(qǐng)求和響應(yīng)消息應(yīng)分別封裝在HTTP協(xié)議請(qǐng)求消息和響應(yīng)消息中進(jìn)行傳輸； ）將JSON格式的管理命令請(qǐng)求和響應(yīng)消息封裝到HTTP協(xié)議前，應(yīng)進(jìn)行加密和編碼處理

8.3安全連接密鑰管理

安全檢測(cè)控制臺(tái)應(yīng)能接受來(lái)自安全檢測(cè)插件的安全連接請(qǐng)求，并采用安全連接密鑰驗(yàn)證安全連接的 有效性，具體應(yīng)滿足如下要求： a）應(yīng)在安全檢測(cè)插件安裝前或安裝過(guò)程中，由安全檢測(cè)控制臺(tái)為受保護(hù)的Web應(yīng)用系統(tǒng)生成 個(gè)安全連接密鑰，并通過(guò)安全方式傳輸?shù)絎eb應(yīng)用系統(tǒng)，并由雙方安全保存； 6 安全檢測(cè)控制臺(tái)在發(fā)送JSON格式的安全管理命令請(qǐng)求消息時(shí)，應(yīng)在消息中附加上與所管理的 Web應(yīng)用系統(tǒng)匹配的安全管理密鑰，Web應(yīng)用系統(tǒng)應(yīng)基于本地安全保存的安全連接密鑰對(duì)安全 檢測(cè)控制臺(tái)發(fā)送的JSON格式管理命令請(qǐng)求消息進(jìn)行驗(yàn)證，應(yīng)在安全連接密鑰匹配成功情況下， 才真正執(zhí)行安全檢測(cè)控制臺(tái)下發(fā)的安全管理命令

電纜標(biāo)準(zhǔn)規(guī)范范本8.4安全管理命令消息解封和封裝

安全檢測(cè)插件應(yīng)支持對(duì)安全檢測(cè)控制臺(tái)發(fā)送的管理命令請(qǐng)求消息進(jìn)行安全解封，以及對(duì)將要發(fā)送到 安全檢測(cè)控制臺(tái)的管理請(qǐng)求響應(yīng)消息進(jìn)行安全封裝，具體要求如下： a）對(duì)于接收到的安全管理命令請(qǐng)求消息，安全檢測(cè)插件應(yīng)采用Base64(RFC3548)解碼獲取本地存 儲(chǔ)的會(huì)話加密密鑰，采用雙方協(xié)商的加密算法對(duì)消息進(jìn)行解密，得到JSON格式的管理命令請(qǐng) 求消息； b 如解密后JSON格式的管理命令請(qǐng)求消息中包含了簽名數(shù)據(jù)，安全檢測(cè)插件應(yīng)獲取本地存儲(chǔ)的 會(huì)話簽名密鑰，采用雙方協(xié)商的簽名算法對(duì)簽名進(jìn)行驗(yàn)證，如驗(yàn)證失敗，應(yīng)直接丟棄該管理 命令； 安全檢測(cè)插件應(yīng)從消息中抽取安全連接密鑰，并和本地的安全連接密鑰進(jìn)行比較，比對(duì)成功 后執(zhí)行管理命令； d 對(duì)于安全檢測(cè)插件需發(fā)送的安全管理命令響應(yīng)消息，如web應(yīng)用系統(tǒng)收到安全檢測(cè)控制臺(tái)下 發(fā)的會(huì)話簽名密鑰，應(yīng)采用存儲(chǔ)于本地的會(huì)話簽名密鑰對(duì)消息進(jìn)行簽名以及Base64編碼，并 將編碼后的數(shù)據(jù)封裝在HTTP響應(yīng)消息中； e 對(duì)于安全檢測(cè)插件需要發(fā)送的安全管理命令響應(yīng)消息，應(yīng)采用存儲(chǔ)于本地的會(huì)話加密密鑰對(duì) 消息進(jìn)行加密，并對(duì)加密數(shù)據(jù)進(jìn)行Base64編碼后封裝在HTTP響應(yīng)消息中