标准规范下载简介
DB33/T 2419-2021 基于安全检测插件的Web应用系统安全检测技术规范.pdfICS35.240.50
DB33/T 241920
基于安全检测插件的Web应用系统安全检
浙江省市场监督管理局 发布
CNAS-SC23:2021 森林认证机构认可方案.pdf江省市场监督管理局 发布
DB33/T2419202
范围 规范性引用文件 术语和定义 缩略语 安全检测总体要求 安全检测插件技术要求 安全检测控制台功能要求, 接口安全要求
DB33/T2419202
DB33/T2419202
基于安全检测插件的Web应用系统安全检测技术规范
本标准规定了安全检测插件、安全检测控制台的术语和定义,规定了基于安全检测描件的web应用 系统安全检测总体要求、安全检测插件技术要求、安全检测控制台功能要求、接口安全要求。 本标准适用于基于安全检测插件的Web应用系统安全检测技术的设计、开发和使用
下列文件中的内容通过文中的规范性引用而构成本标准必不可少的条款。其中,注日期的引用文件, 仅该日期对应的版本适用于本标准;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本 标准。 GB/T11457一2006信息技术软件工程术语 GB/T250692010信息安全技术术语
DB33/T2419202
安全检测控制台securitydetectionconsole 通过网络通信接口接收安全检测插件信息、下发控制指令,集中控制与管理安全检测插件的管理系 统。
下列缩略语适用于本标准。 API:应用编程接口(ApplicationProgrammingInterface) HTTP:超文本传输协议(HypertextTransferProtocol) JSON:JavaScript对象表示法(JavaScriptObjectNotation) SQL:结构查询语言(StructureQueryLanguage) URL:统一资源定位符(UniversalResourceLocator) XML:可扩展标记语言(eXtensibleMarkupLanguage)
基于安全检测插件的web应用安全检测系统(以下简称“检测系统”)由嵌入了安全检测插件的web 应用系统和安全检测控制台组成,见图1。安全检测插件采用程序插装和追踪技术,对运行时的Web应用 安全性进行分析,发现web应用的漏洞、识别web应用中开源组件漏洞和许可类型。检测系统用于web应 用软件生存周期的测试和运行阶段,目的是为帮助应用开发者和管理者了解web应用存在的脆弱性和开 原组件的许可类型,改善并提升应用系统抵抗各类Web应用攻击(如:注入攻击、跨站脚本攻击、文件 包含和信息泄露等)的能力,以帮助用户建立安全合规的Web应用服务。Web应用系统使用检测系统进行 安全性检测时,需在Web应用系统中部署安全检测插件,并对Web应用系统执行功能测试用于驱动安全检 测插件的安全性分析
DB33/T2419202
5. 2. 1检测对象影响
5. 2. 2 安全验证
5.2.2.1代码安全审计
.2.2.2安全功能测试
系统发布前应对安全检测控制台的安全功能进行
5. 2. 2. 3 安全性评定
根据检测系统代码安全审计和安全功能测试的结果评定其安全性,检测系统自身不存中危及以 的漏洞,方可准许上线运行。
DB33/T2419202
5.3.1安全检测插件安装
验测对象的所有Web应用服务应安装安全检测插件,安全控制台能正常识别安全检测插件的在线
5. 3. 2 执行检测
执行检测对象功能测试用例,用于驱动安全检测插件的安全性分析,识别检测对象的漏洞和开源组 件风险,功能测试用例应覆盖Web应用的全部功能和接口
6安全检测插件技术要求
应能适应具有安全机制的web应用系统的安全检测,例如在web应用使用传输报文加密机制 证机制、基于不可重复资源访问控制机制时仍能检测漏洞,
a)失效模式,安全检测功能关闭;
6.2.2应具备根据以下条件自动切换工作模式
a)检测对象所在服务器的CPU使用率、内存使用率; b)检测对象Web服务的响应时间、追踪层次数量,
DB33/T2419202
6.4.1应能自动验证漏洞的可利用性。 6.4.2应能根据漏洞的URL、类型等参数控制自动验证功能的启停
6. 5. 1漏洞分析
DB33/T2419202
应能识别开源组件所使用的许可类型。
应包括中国国家信息安全漏洞库、国家信息安全漏洞共享平台、美国国家通用漏洞数据库 披露的漏洞信息。
离线、在线更新漏洞数据库,在线自动更新间
空JAVA、PHP、C#、Python等主流Web开发语言。
6. 6. 2 操作系统兼容
6. 6.3开发框架兼容
应兼容Spring、Spring Cloud、SpringCloudAlibaba、ASP.NET、ThinkPHP、Django等主流Web 开发框架类型。
6.6.4应用服务器兼容
应兼容Nginx、Apache、Tomcat、IIS、WebLogic、WebSphere、东方通、宝兰德等主流Web应用服务 器。
7安全检测控制台功能要求
7.1安全检测插件管理
7.1.1应具备安全检测插件安装向导的功能。
4套住宅工程施工组织设计方案(鲁班奖)a)支持管理安全检测插件的运行状态; b)支持管理安全检测插件的工作模式; c)支持在线诊断安全检测插件的插装状态、追踪状态等内容。 7.1.5应具备安全检测插件在线日志收集的功能。
7.2.1应具备选择漏洞检测规则的功能。 7.2.2应具备根据漏洞的URL、类型等参数配置漏洞验证规则的功能
7.2.2应具备根据漏洞的URL、类型等参数配置漏洞验证规则的
DB33/T2419202
7.2.3应具备增加安全函数/方法的功能,对已有的漏洞检测规则进行补充。 注:安全函数/方法是指Web应用开发过程中为保证安全用于数据验证(Validating)、净化(Sanitizing)和转义 (Escaping))的函数或方法。 7.2.4应具备增加监控Web应用的函数/方法的功能,对已有的监控函数/方法进行扩展。 7.2.5应具备增加漏洞检测规则的功能,对已有的漏洞检测规则进行扩展 7.2.6应具备根据用户请求的源IP地址、URL、HTTP参数,以及Web应用程序包名等信息创建排除规 则的功能。 注:排除规则是用于定义安全检测插件不执行漏洞检测的条件。当排除规则生效后,满足排除规则所定义的用户请 求不执行漏洞检测,满足程序包名条件的Web应用模块不执行漏洞检测
7.3检测结果分析处理
应提供以下漏洞的相关信息: a 应提供漏洞的形成原因、检测依据、漏洞风险、修复建议、代码示例等内容; b)应提供漏洞检测时的请求信息、响应信息、漏洞代码位置、程序追踪过程、代码调用栈等环 境信息。
石家庄市阳光佳苑二期工程1#住宅楼1_楼施工组织设计7. 3. 2漏洞管理