标准规范下载简介
JR/T 0213-2021 金融网络安全 Web应用服务安全测试通用规范.pdf工作流程绕过测试基本要求: a)应至少在找回密码和重置密码场景处进行业务流程绕过测试。 b)应通过测试确认当前所在的业务流程阶段不能够通过用户传入的参数直接指定。 c)对于每一个业务流程阶段,应通过测试确保安全策略与安全原则具备整体一致性
5.3.2.15应用程序误用测试
应用程序误用测试基本要求: 应通过测试确认系统存在能够阻止攻击者反复进行攻击尝试的防御机制。如多次输入疑似攻击尝试 及攻击利用的内容,系统可以直接阻断请求并进行临时IP封禁。该机制可以由第三方设备或软件提供。 应用程序误用测试增强要求: 应通过测试确认系统存在可以自学习的抗攻击尝试机制。
5.3.2.16文件上传测试
DLT1489-2015 三相智能电能表型式规范文件上传测试基本要求: 应通过测试确认系统不存在可以直接部署网页脚本的文件上传功能。 b) 应通过测试确认存储上传文件的Web应用服务不存在脚本解析漏洞。 c) 应通过测试确认上传文档前应经过有效的身份验证。 d)应通过测试确认文件上传的校验在服务端进行。
e) 应通过测试确认文件上传功能存在有效的后缀白名单限制,且无法被突破。 f 应通过测试确认文件上传的位置无法通过参数进行指定或操控。 8 应通过测试确认文件上传功能不存在竞争上传问题。 h 对于文件上传后会针对上传文件内容进行展示及重新染的功能,应通过测试确认无法利用该 功能绕过现有防御机制。 文件上传测试增强要求: 对于文件上传后会针对上传文件内容进行展示及重新渣染的功能,应通过测试确认该功能无法通过 容展示及重新道染执行外部插入的命令
5.3.3身份鉴别测试
5.3.3.1角色定义测试
角色定义测试基本要求: a)测试方应充分了解目标应用中的全部角色并建立权限矩阵。 b 金融机构应提供所有角色权限的账号及登录方式,并确认测试方建立权限矩阵的准确性。如生 产环境中不能提供对应角色权限的账号及登录方式,则需要在仿真环境中进行补充测试。
5.3.3.2用户注册过程测试
用户注册过程测试基本要求: a 应通过测试确认用户主体只能被注册1次。 b) 应通过测试确认系统存在能够有效认证用户主体的功能设计。如实名注册中,至少通过查询姓 名与身份证号码的匹配度来验证用户主体的真实性。 应通过测试确认不存在可以直接控制注册用户权限的参数。 d 应通过测试确认注册过程包含有效的人机识别,无法通过自动化批量完成
5.3.3.3账户权限变化测试
账户权限变化测试基本要求: 测试方应结合角色权限矩阵,梳理所有涉及权限变化的功能,并确认是否能够最小化满足业务 需求。 b 应通过测试确认任何角色都不能为自身或其他角色赋予超越自身的权限。 应通过测试确认任何角色都不能撤销或转移对等权限以及更高权限。
5.3.3.4账户枚举和弱用户名测试
账户枚举和弱用户名测试基本要求: a)应通过测试确认登录时无法进行账户枚举。 b)进行账户枚举和弱用户名测试时应尽可能尝试常见用户名与默认用户名。
5.3.3.5口令信息加密传输测试
口令信息加密传输测试基本要求: a)应通过测试确认口令信息传输在当前场景下满足JR/T0168一2020的要求。如网银系统在传输 口令时应采用双向校验。 b) 应通过测试确认口令信息传输时至少对口令参数本身使用摘要算法进行加密,或整个请求采用 通过国家密码管理部门认可的HTTPS协议进行传输
JR/T 0213—2021
在使用HTTPS 办议访问并成功登陆
5.3.3.6默认口令与弱口令测试
默认口令与弱口令测试基本要求: a) 测试方应建立并维护金融机构常用弱口令字典,并保证字典具备较高的命中率。 6) 测试方应通过访谈及调研的形式确认目标系统不存在统一分发的默认口令,或确认每个账户的 默认口令各不相同且无法基于自身分配的口令对其他账户的口令进行预测。 C 应通过测试确认不能够使用空口令登录目标系统。 d 应通过测试确认不存在能够使用弱口令登录的高权限账户。 e) 对于第三方应用,测试方应通过测试确认第三方应用不存在可预测的默认口令。如出厂口令或 可轻易与开发商信息关联的常见口令。 默认口令与弱口令测试增强要求: 测试方应针对目标系统及所属金融机构,通过组合关联信息定制弱口令字典的方式提升命中率
5.3.3.7账户锁定机制测试
5.3.3.8认证绕过测试
认证绕过测试基本要求: 应通过测试确认内部功能均进行了有效的认证保护,无法通过直接请求非授权访问内部功能。 b 应通过测试确认不存在能够通过参数直接激活登录认证的功能。如参数1ogin=on后能够以某 一个固定或指定的权限正常使用相应功能。 C 应通过测试确认会话标识或用来标示身份的其他参数不能进行线性预测。 应通过测试确认无法通过修改响应包的方式简化前
5.3.3.9记住密码功能测试
认证绕过测试基本要求: 应通过测试确认浏览器本地(包括但不限于Cookie、LocalStorage、SessionStorage) 存储明文密码或哈希。
5.3.3.10密码策略测试
密码策略测试基本要求: a)应通过测试确认目标系统的密码策略满足对应安全级别的要求。如密码长度要求、密码组成要 求、密码强制修改周期要求和历史密码策略要求等。 b)应通过测试确认目标系统无法通过连续多次更改密码的方式绕过历史密码策略。
5.3.3.11密码修改及重置测试
密码修改及重置测试基本要求:
5. 3.4.1 目录遍历、文件包含测试
目录遍历、文件包含测试基本要求: a)测试方应遍历所有通过用户传入文件名调取文件内容的功能,确保无法基于当前web应用运行 权限进行指定操作文件查看及下载的操作。 b 应通过测试确认传入参数不支持PHP封装协议(伪协议)。如php://input和php://filte 等。 c)应通过测试确认传入参数不支持通过“../”以及对应的各类编码或变体进行父目录穿越
5.3.4.2且录浏览测试
目录浏览测试基本要求: a)应通过测试确认Web应用各级目录均未开启目录浏览功能。 应通过测试确认Web应用各级目录不存在通过其他信息间接泄露全部或部分目录名称的问题, 如版本控制工具残留文件导致的目录或文件名称泄露
5.3.4.3可预测资源定位测试
可预测资源定位测试基本要求: a)对于不便进行权限限制的静态资源,应通过测试确认其名称具备不可预测性,包括但不限于图 片、文档和附件等静态资源。如图片名称包含32位以上哈希且不可线性预测。 应充分尝试请求可能的文件名、后缀及相关变体,确保不存在包含敏感信息的可预测资源。如 版本控制文件、备份文件和示例文件等。 C 应通过测试确认web服务器及中间件的基础配置文件和管理入口,不会因为配置失误导致未授 权访间,
5.3.4.4授权绕过测试
授权绕过测试基本要求: 如具备条件,测试方应使用管理员权限遍历管理页面和功能并进行记录,且通过测试确保普通 用户以及其他非授权用户不具备这些页面及功能的使用权限。 b 应通过测试确认管理功能的权限判断逻辑未仅在前端实现。如在未登录状态下请求某个管理页 面,会通过增加JavaScript的方式引导用户跳转或关闭窗口,但实际管理功能及数据已经加 载并可以正常使用
5.3.4.5权限提升测试
JR/T0213—2021
权限提升基本要求: 应通过测试确认不存在通过用户输入参数可以直接控制当前账户整体权限的功能实现或接口。如通 过增加参数admin=1即可使用管理员功能
5.3.4.6不安全的直接对象引用测试
不安全的直接对象引用测试基本要求: a) 应通过测试确认所有用户输入的与权限相关的线性参数均不存在平行越权的问题。如ID=150 为当前用户的内容,ID=151为当前用户所不具备权限的其他用户的内容。 b 在生产系统中,如涉及写与删除操作的平行越权,应至少在另一个测试账户中进行。如不具备 另一个测试账户,则应在仿真环境中进行本项测试。 进行不安全的直接对象引用测试时,应严格禁止批量跑取数据的行为。如需要进行危害验证, 应获取不超过5条数据用以证明危害即可
5.3.5会话管理测试
5.3.5.1会话管理绕过测试
会话管理绕过测试基本要求: a)应通过测试确认Cookie中的会话凭证具备不可预测性。 应通过测试确认会话标识符从一个可信系统,如服务器上创建,而不是在客户端创建。 C 应通过测试确认Cookie中的会话凭证不能通过目标系统中的其他功能生成,如存在某个功能 实现或接口,在传入用户名后可以得到对应用户的会话凭证。 会话管理绕过测试增强要求: 在验证会话凭证的不可预测性时,宜采用通过工具生成大量会话凭证样本并进行碰撞的方式进行
5.3.5.2Cookie属性测试
Cookie属性测试基本要求: 应通过测试确认Cookie中的会话标识设置了Secure、HttpOnly和SameSite属性。 6 应通过测试确认对HttpOnly不支持的浏览器不能使用站点功能。 应通过测试确认目标系统不存在能够绕过HttpOnly机制的漏洞,如特定的中间件漏洞以及利 用CORS特性导致的XSS会话劫持等。
5.3.5.3会话固定测试
会话固定测试基本要求: a) 应通过测试确认用户登录成功后目标系统会自动更新会话标识。 b) 应通过测试确认当用户携带一个通过URL传递的指定的会话标识进行用户认证后,该会话标识 不会生效。
5.3.5.4会话令牌泄露测试
会话令牌泄露测试基本要求: 应通过测试确认所有涉及身份认证的关键参数均不能通过GET方式传输。如用户名密码对,会话标 识以及其他能够独立通过身份校验的各类凭据
5.3.5.5CSRF测试
CSRF测试基本要求: 测试方应梳理并记录所有与身份强相关的单向操作,包括但不限于不需要原密码的密码修改功 能、增加用户功能、删除用户功能、赋予用户权限功能、转账功能、发送公告功能等。应通过 测试确保上述功能不存在CSRF问题, 如使用Referer校验,则应通过测试确认不存在域内的CSRF漏洞。 C 如使用Token校验,则应通过测试确认Token验证与会话标识强相关。 d 如使用双重校验,则应通过测试确认校验码不可预测及不可绕过。 e 如使用图形验证码,则应通过测试确认图形验证码不可预测及不可绕过。 应通过测试确认目标系统无法进行JSON和JSONP劫持攻击。
5.3.5.6登出功能与会话超时测试
登出功能与会话超时测试基本要求: a)应通过测试确认用户界面中存在登出功能,并确认登出功能的有效性。 b)应通过测试确认目标系统存在无动作前提下的自动登出时间设置,且不长于10分钟。
5.3.5.7会话变量重载测试
会话变量重载测试增强要求: 应通过测试确认目标系统的每次会话变量重载都在充分认证的基础之上进行。如任何未登录的用户 在访问某个页面后都被动激活了登录会话,
5.3.6输入验证测试
5.3.6.1XSS测试
JR/T 0213—2021
5.3.6.2SSRF测试
SSRF测试基本要求: a)测试方应在所有可能调用内部或外部第三方系统的位置进行充分的SSRF测试尝试。包括但不 限于直接通过参数传递IP地址的功能、传递端口号的功能、传递第三方URL的功能以及传递 第三方回显数据的功能等。 b)应通过测试确认传入的URL参数仅支持HTTP(S)协议,不应响应file://、gopher://、ftp:/ 和dict://等其他网络协议。
5.3.6.3HTTP谓词算改测试
HTTP谓词算改测试基本要求: a)应通过测试确认目标系统是否开启了WebdaV。 b)在开启了Webdav的前提下,应通过测试确认目标系统无法通过Webdav缺陷配置上传 Webshell。 HTTP谓词算改测试增强要求: 应通过测试确认非标准的HTTP方法不会产生非预期的行为
5.3.6.4HTTP参数污染测试
ITTP参数污染测试基本要求: 应通过测试确认在引入多个同名参数时,安全限制与参数执行始终保持一致。 应通过测试确认在引入多个同名参数时,目标系统在接受了多个参数值组合的前提下无法绕 安全限制。
5.3.6.5SQL注入测试
SQL注入测试基本要求: a)涉及增、删、改的注入测试,应在仿真环境下进行。严禁在生产环境中进行增、删、改相关的 各类SQL注入测试。包括但不限于通过堆叠注入引入完整的增删改语句,通过Outfile语句向 服务器文件写入内容,通过文本输入区域进行二次注入,在增删改语句中拼入恒真表达式或注 释后续执行条件等危险操作。 b 严禁使用第三方运维的域名解析记录平台进行带外注入测试。如需使用测试方自有平台进行测 试,需按照金融机构制定的测试工具管理流程进行报备。 C 在使用了NoSQL及ORM相关技术的系统中,测试方应根据相关技术特点调整测试手段以便充分 发现SQL注入风险。 SQL注入测试增强要求: a 测试方应对所有可能存在数据库查询的功能进行SQL注入测试。可通过开发专项工具的方式提 升SQL注入测试的全面性。 b) 在使用了安全限制的场景下,应通过测试确认负载均衡或代理服务器在向后端服务器做转发的 过程中,不存在HTTP请求走私(HTTPrequestSmuggling)问题。
5. 3. 6. 6 XML 注入测试
XML注入测试基本要求: a)测试方应通过尝试插入XML元字符以及节点的方式充分测试当前功能中是否存在XML 能。
b)在目标系统使用了 C)应通过测试确认目标系统不存在XML外部实体注入问题
5.3.6.7 其他注入测试
5.3.6.8孵化漏洞测试
孵化漏洞测试增强要求: 在一些复杂的业务逻辑场景下,应通过测试确认目标系统不存在多个条件组合达成时才能成功利用 的逻辑漏洞。
5.3.6.9HTTP分割/伪造测试
HTTP分割/伪造测试增强要求: 在使用了安全限制的场景下,应通过测试确认安全限制不会通过HTTP分割/伪造的方式绕过
5. 3.7 错误处理测试
错误处理测试基本要求: 测试方应维护一个易于触发服务端错误的模糊测试列表,并在非增删改功能中进行模糊测试以 获取充足的错误响应样本。 测试方应充分评估错误响应中暴露的技术细节,并通过这些细节充分测试可能导致风险的各类 威胁。
5.3.8.1传输层防护及敏感数据测试
传输层防护及敏感数据测试基本要求: )测试方应采用专有的线上及线下工具测试SSL/TLS的整体安全性。线上及线下工具的选择和使 用应遵循金融机构的相关管理制度。 应通过测试确认目标系统的SSL/TLS版本及配置不存在已知的高危漏洞。
JR/T 0213—2021
当目标系统不米用有 先据问题 d)当目标系统及客户端之间使用双向 试确认无法实施有效的中间人攻击
5.3.8.2填充提示测试
填充提示测试(PaddingOracle)基本要求: 测试方至少应在ASP.NET架构的应用上进行填充提示测试。
5.3.9.1客户端URL重定向测试
客户端URL重定向测试基本要求: 应通过测试确认目标系统不存在可以指定目标域名进行直接或二次跳转的功能。如用户在 页面后,需经过登录再进行跳转的场景属于二次跳转
5.3.9.2跨域资源共享测试
跨域资源共享测试基本要求: 应通过测试确认目标系统是否开启了CORS功能。在开启了CORS功能的前提下,应通过测 限制使用白名单机制。
5.3.9.3Flash跨站测试
1ash跨站测试增强要求: 应通过对Flash文件进行反编译,测试是否存在能够导致XSS的未初始化全局变量以及不安全方
文件进行反编译,测试是否存在能够导致XSS的未初始化全局变量以及不安全方法,
测试加固基本要求: a)金融机构应根据应用重要程度,漏洞危害以及影响范围在机构内部建立统一的漏洞评 并定期维护更新。
b)漏洞加固应尽可能满足有效性及完备性要求,金融机构应采用现行最佳的方式进行漏洞加固。 漏洞加固手段包括但不限于软件补丁、软硬件防护设备、网络控制措施、代码防护和应用升级 改造等措施。 金融机构应及时监测漏洞修复情况。如无法进行修复,测试方应配合金融机构补充临时应急方 案。对于能直接造成系统被控制、敏感数据泄露或业务中断等严重后果的漏洞,其漏洞修复时 间不应超过72小时。 d 对于能直接造成系统被控制、敏感数据泄露、业务中断等严重后果的漏洞,以及金融机构依据 漏洞评级标准评价为中危以上评级的漏洞,应经过测试方复测确认修复。 测试加固增强要求: 金融机构可针对加固工作设置变更流程审批,并在加固前验证加固方案有效性DL/T 1887-2018 水电水利工程砂石破碎机械安全操作规程,同时进行数据备份 回退措施。
管理要求基本要求: 金融机构应针对安全测试建立管理制度,明确对应管理工作的目标、范围、原则及实施框架。 金融机构应针对安全测试工作各个相关角色明确定义和职责分工。 金融机构应针对安全测试工作各个相关角色制定明确的操作规程。 金融机构应针对安全测试中的重要及关键操作建立审批流程。 金融机构应针对安全测试方的身份、背景及专业资质进行审查,并签署保密协议。 测试方应在测试前向金融机构提供真实准确的测试方案。方案内容包括但不限于测试项清单、 测试工具清单、测试时间计划和测试人员信息等。 金融机构和测试方均应设置紧急联系人,以便必要时进行沟通。 1 金融机构应就测试方案中的测试人员信息进行统一备案,包括但不限于姓名和手机号码等。金 融机构应仅保留能够通过测试提供商定位到具体人员的基本信息,由测试方或测试组织方留存 与人员身份相关的敏感信息。 金融机构应对安全测试接入的区域、系统、设备和信息等内容应进行书面的规定和记录,并按 照规定严格执行。 测试方应对安全测试制定实施计划,并根据实施计划推进安全测试工作。实施计划应向所有安 全测试相关方同步。 金融机构应指定或授权专门的部门或人员负责安全测试实施过程的监督和管理。 测试方应对安全测试实施人员的行为规范进行书面规定,一且发现违反行为规范的行为应严格 按照规定处理。测试方应出具正式的安全测试报告,其中应至少包含安全测试目标、人员、时 间、测试步骤、测试分析和测试结论以及附录A中的安全测试报告样例所示的其他内容。 金融机构可要求测试方在测试实施过程中,参照附录B中的漏洞报告样例针对所发现的问题按 需逐个提交漏洞报告。 1 测试方应对安全测试残留文件进行明确的记录和说明。测试方有义务协助金融机构进行残留文 件清除及排查工作。 测试方应提供可落地的修复建议。 金融机构应针对安全测试报告进行严格归档和访问授权。 对于网络安全等级保护三级及以上的应用系统及服务,每年应至少进行1次安全测试。 金融机构应定期开展互联网和内网资产测绘工作并进行漏洞扫描测试,每年不少于4次。
JR/T 0213—2021
S)金融机构应指定或 完成安全 测试验收工作 管理要求增强要求: 测试方应能够提供测试全过程的视频记录,以便在取证时可进行分析回溯
金融机构应指定或 测试验收工作 管理要求增强要求: 则试方应能够提供测试全过程的视频记录NB/T 10197-2019 高海拔现场移动冲击电压发生器通用技术条件,以便在取证时可进行分析回溯
[1]GB/T29246信息技术安全技术信息安全管理体系概述和词汇 2]GB/T32917一2016信息安全技术Web应用防火墙安全技术要求与测试评价方法 3】JR/T0071一2020金融行业网络安全等级保护实施指引 4]JR/T0101一2013银行业软件测试文档规范 5]中华人民共和国网络安全法 [6]】OWASPTOP102017OWASP开放式Web应用程序安全项目