DB33T 2419-2021 基于安全檢測插件的Web應用系統(tǒng)安全檢測技術規(guī)范

33I 2 2 4 6 本標準按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定1基于安全檢測插件的Web應用系統(tǒng)安全檢測技術規(guī)范本標準規(guī)定了安全檢測插件、安全檢測控制臺的術語和定義，規(guī)定了基于安全檢測插件的Web應用系統(tǒng)安全檢測總體要求、安全檢測插件技術要求、安全檢測控制臺功能要求、接口GB/T25069—2010信息安全技術術語a)插入到計算機程序中的探頭。如指令或斷言，以利于執(zhí)行監(jiān)控、正確性證明、資源監(jiān)控或其加密encipherment/en安全檢測插件securityde通過程序插裝和追蹤等方法，檢測應用程序漏洞，識2安全檢測控制臺securityde4縮略語API：應用編程接口（ApplicationPrograHTTP：超文本傳輸協(xié)議(HypertextTransferProtocJSON：JavaScript對象表示法(JavaScriptObjectNotaSQL：結(jié)構(gòu)查詢語言（StructureQueryLURL：統(tǒng)一資源定位符（UniversalXML：可擴展標記語言（eXtensi5安全檢測總體要求5.1技術架構(gòu)安全性進行分析，發(fā)現(xiàn)Web應用的漏洞、識別Web應用中開源組件漏洞和許可類型。檢測系統(tǒng)用于Web應用軟件生存周期的測試和運行階段，目的是為幫助應用開發(fā)者和管理者了解Web應用存在的脆弱性和開源組件的許可類型，改善并提升應用系統(tǒng)抵抗各類Web應用攻擊（如：注入攻擊、跨站腳本攻擊、文件3Web應用系統(tǒng)理控制指令請求與漏洞信息響應狀態(tài)圖1技術架構(gòu)5.2基本要求5.2.1檢測對象影響檢測系統(tǒng)應避免影響目標Web應用的正常工作，例如應避免產(chǎn)生臟數(shù)據(jù)和臟操作。5.2.2安全驗證代碼安全審計檢測系統(tǒng)發(fā)布前應對安全檢測插件執(zhí)行代碼安全審計，減少代碼中存在的脆弱性問題。安全功能測試檢測系統(tǒng)發(fā)布前應對安全檢測控制臺的安全功能進行安全性測試。安全性評定根據(jù)檢測系統(tǒng)代碼安全審計和安全功能測試的結(jié)果評定其安全性，檢測系統(tǒng)自身不存中危及以上等級的漏洞，方可準許上線運行。45.3.1安全檢測插件安裝檢測對象的所有Web應用服務應安裝安全檢測插件，安全控制臺能正常識別安全檢測插件的在線狀5.3.2執(zhí)行檢測證機制、基于不可重復資源訪問控制機制時仍能檢測6.2.2應具備根據(jù)以下條件自動切換工作模式b)檢測對象Web服務的響應時間、追蹤層a)輸入驗證錯誤類——表達式注入漏洞；5——日志注入漏洞；——弱口令漏洞；——不安全的認證漏洞；——缺少自定義錯誤頁面漏洞?！獣捴貙懧┒矗弧话踩浅雎┒??！褂萌蹼S機數(shù)漏洞；——密碼硬編碼漏洞；應能識別Web應用中引入的開源組件，并能結(jié)合漏洞數(shù)據(jù)庫分析組件存在的已知6應兼容JAVA、PHP、C#、Python等主流W應兼容Windows、CentOS、Ubuntu、RedHat、統(tǒng)信UOS、中標麒麟等應兼容Spring、SpringCloud、SpringCloudAlibaba、ASP.NET、ThinkPHP、Django等主流Web7.1.1應具備安全檢測插件安裝向7.1.3應具備安全檢測插件升級管c)支持在線診斷安全檢測插件的插裝狀態(tài)、追蹤狀態(tài)等內(nèi)容。7.1.5應具備安全檢測插件在線日志收7.2.2應具備根據(jù)漏洞的URL、類型等參數(shù)配置漏洞77.2.3應具備增加安全函數(shù)/方法的功能,對已有的漏洞檢測規(guī)注：安全函數(shù)/方法是指Web應用開發(fā)過程中為保證安全用于數(shù)據(jù)驗證(Validating)、凈化(Sanitizing)和轉(zhuǎn)義7.2.5應具備增加漏洞檢測規(guī)則的功能，對已有的漏洞檢測規(guī)則進a)應提供漏洞的形成原因、檢測依據(jù)、漏洞風險、修復建議、代碼示例等內(nèi)容；b)應提供漏洞檢測時的請求信息、響應信息、漏洞代碼位置、程序追蹤過程、代碼調(diào)用棧等環(huán)a)應提供漏洞修復率、漏洞平均修復時間的統(tǒng)計分析應支持根據(jù)預設事件條件自動觸發(fā)處置動作，例如在發(fā)現(xiàn)8a)實現(xiàn)的通過接口可對調(diào)用者進行身份認證，調(diào)用該接口的安全檢測控制臺須通過身份認證后b)安全檢測控制臺和安全檢測插件之間傳輸檢測策略或回傳安全日志時，需確保通信安全和數(shù)a)應在安全檢測插件安裝前或安裝過程中，由安全檢測控制臺為受保護的Web應用系統(tǒng)生成一個安全連接密鑰，并通過安全方式傳輸?shù)絎eb應用系b)安全檢測控制臺在發(fā)送JSON格式的安全管理命令請求消息時Web應用系統(tǒng)匹配的安全管理密鑰，Web應用系統(tǒng)應基于安全檢測控制臺的管理請求響應消息進行安全封裝，a)對于接收到的安全管理命令請求消息，安全檢測插件應采用Base64(RFC3548)解碼獲取本地存儲的會話加密密鑰，采用雙方協(xié)商的加密算法對b)如解密后JSON格式的管理命令請求消息中包含了簽名數(shù)據(jù)，安全檢會話簽名密鑰，采用雙方協(xié)商的簽名算法對簽名進行驗證，如驗證失敗，應直接丟棄該管理c)安全檢測插件應從消息中抽取安全連接密鑰，并和本地的安全連接密鑰進