标准规范下载简介
JR/T 0213-2021 金融网络安全 Web应用服务安全测试通用规范.pdf简介:
"JR/T 0213-2021 金融网络安全 Web应用服务安全测试通用规范.pdf" 是一个由中国金融标准化技术委员会发布的标准文档。该文档主要针对金融行业中的Web应用服务安全进行详尽的规定和测试通用要求。它涵盖了Web应用服务在设计、开发、部署和运行过程中可能遇到的安全问题,如身份认证、数据加密、访问控制、安全漏洞检测等。
这个规范的目的是为了提升金融Web应用服务的安全性,以防范可能的网络攻击,保护用户数据隐私,维护金融系统的稳定和安全。它为开发者、测试人员和安全专家提供了一套标准化的测试框架和指南,以确保金融Web应用在安全方面达到行业内的最佳实践。
总的来说,这个文件是金融网络安全领域的一项重要技术指导,对于金融机构、软件开发公司和相关服务提供者来说,是进行Web应用安全设计和测试的参考依据。
JR/T 0213-2021 金融网络安全 Web应用服务安全测试通用规范.pdf部分内容预览:
会话固定测试基本要求: a) 应通过测试确认用户登录成功后目标系统会自动更新会话标识。 b) 应通过测试确认当用户携带一个通过URL传递的指定的会话标识进行用户认证后,该会话标识 不会生效。
5.3.5.4会话令牌泄露测试
会话令牌泄露测试基本要求: 应通过测试确认所有涉及身份认证的关键参数均不能通过GET方式传输。如用户名密码对GB∕T 20312-2006 建筑材料及制品的湿热性能 吸湿性能的测定,会话标 识以及其他能够独立通过身份校验的各类凭据
5.3.5.5CSRF测试
CSRF测试基本要求: 测试方应梳理并记录所有与身份强相关的单向操作,包括但不限于不需要原密码的密码修改功 能、增加用户功能、删除用户功能、赋予用户权限功能、转账功能、发送公告功能等。应通过 测试确保上述功能不存在CSRF问题, 如使用Referer校验,则应通过测试确认不存在域内的CSRF漏洞。 C 如使用Token校验,则应通过测试确认Token验证与会话标识强相关。 d 如使用双重校验,则应通过测试确认校验码不可预测及不可绕过。 e 如使用图形验证码,则应通过测试确认图形验证码不可预测及不可绕过。 应通过测试确认目标系统无法进行JSON和JSONP劫持攻击。
5.3.5.6登出功能与会话超时测试
登出功能与会话超时测试基本要求: a)应通过测试确认用户界面中存在登出功能,并确认登出功能的有效性。 b)应通过测试确认目标系统存在无动作前提下的自动登出时间设置,且不长于10分钟。
5.3.5.7会话变量重载测试
会话变量重载测试增强要求: 应通过测试确认目标系统的每次会话变量重载都在充分认证的基础之上进行。如任何未登录的用户 在访问某个页面后都被动激活了登录会话,
5.3.6输入验证测试
5.3.6.1XSS测试
JR/T 0213—2021
5.3.6.2SSRF测试
SSRF测试基本要求: a)测试方应在所有可能调用内部或外部第三方系统的位置进行充分的SSRF测试尝试。包括但不 限于直接通过参数传递IP地址的功能、传递端口号的功能、传递第三方URL的功能以及传递 第三方回显数据的功能等。 b)应通过测试确认传入的URL参数仅支持HTTP(S)协议,不应响应file://、gopher://、ftp:/ 和dict://等其他网络协议。
5.3.6.3HTTP谓词算改测试
HTTP谓词算改测试基本要求: a)应通过测试确认目标系统是否开启了WebdaV。 b)在开启了Webdav的前提下,应通过测试确认目标系统无法通过Webdav缺陷配置上传 Webshell。 HTTP谓词算改测试增强要求: 应通过测试确认非标准的HTTP方法不会产生非预期的行为
5.3.6.4HTTP参数污染测试
ITTP参数污染测试基本要求: 应通过测试确认在引入多个同名参数时,安全限制与参数执行始终保持一致。 应通过测试确认在引入多个同名参数时,目标系统在接受了多个参数值组合的前提下无法绕 安全限制。
5.3.6.5SQL注入测试
SQL注入测试基本要求: a)涉及增、删、改的注入测试,应在仿真环境下进行。严禁在生产环境中进行增、删、改相关的 各类SQL注入测试。包括但不限于通过堆叠注入引入完整的增删改语句,通过Outfile语句向 服务器文件写入内容,通过文本输入区域进行二次注入,在增删改语句中拼入恒真表达式或注 释后续执行条件等危险操作。 b 严禁使用第三方运维的域名解析记录平台进行带外注入测试。如需使用测试方自有平台进行测 试,需按照金融机构制定的测试工具管理流程进行报备。 C 在使用了NoSQL及ORM相关技术的系统中,测试方应根据相关技术特点调整测试手段以便充分 发现SQL注入风险。 SQL注入测试增强要求: a 测试方应对所有可能存在数据库查询的功能进行SQL注入测试。可通过开发专项工具的方式提 升SQL注入测试的全面性。 b) 在使用了安全限制的场景下,应通过测试确认负载均衡或代理服务器在向后端服务器做转发的 过程中,不存在HTTP请求走私(HTTPrequestSmuggling)问题。
5. 3. 6. 6 XML 注入测试
XML注入测试基本要求: a)测试方应通过尝试插入XML元字符以及节点的方式充分测试当前功能中是否存在XML 能。
b)在目标系统使用了 C)应通过测试确认目标系统不存在XML外部实体注入问题
5.3.6.7 其他注入测试
5.3.6.8孵化漏洞测试
孵化漏洞测试增强要求: 在一些复杂的业务逻辑场景下,应通过测试确认目标系统不存在多个条件组合达成时才能成功利用 的逻辑漏洞。
5.3.6.9HTTP分割/伪造测试
HTTP分割/伪造测试增强要求: 在使用了安全限制的场景下,应通过测试确认安全限制不会通过HTTP分割/伪造的方式绕过
5. 3.7 错误处理测试
错误处理测试基本要求: 测试方应维护一个易于触发服务端错误的模糊测试列表,并在非增删改功能中进行模糊测试以 获取充足的错误响应样本。 测试方应充分评估错误响应中暴露的技术细节,并通过这些细节充分测试可能导致风险的各类 威胁。
5.3.8.1传输层防护及敏感数据测试
传输层防护及敏感数据测试基本要求: )测试方应采用专有的线上及线下工具测试SSL/TLS的整体安全性。线上及线下工具的选择和使 用应遵循金融机构的相关管理制度。 应通过测试确认目标系统的SSL/TLS版本及配置不存在已知的高危漏洞。
JR/T 0213—2021
当目标系统不米用有 先据问题 d)当目标系统及客户端之间使用双向 试确认无法实施有效的中间人攻击
5.3.8.2填充提示测试
填充提示测试(PaddingOracle)基本要求: 测试方至少应在ASP.NET架构的应用上进行填充提示测试。
5.3.9.1客户端URL重定向测试
客户端URL重定向测试基本要求: 应通过测试确认目标系统不存在可以指定目标域名进行直接或二次跳转的功能。如用户在 页面后,需经过登录再进行跳转的场景属于二次跳转
5.3.9.2跨域资源共享测试
跨域资源共享测试基本要求: 应通过测试确认目标系统是否开启了CORS功能。在开启了CORS功能的前提下,应通过测 限制使用白名单机制。
5.3.9.3Flash跨站测试
1ash跨站测试增强要求: 应通过对Flash文件进行反编译,测试是否存在能够导致XSS的未初始化全局变量以及不安全方
文件进行反编译,测试是否存在能够导致XSS的未初始化全局变量以及不安全方法,
测试加固基本要求: a)金融机构应根据应用重要程度DB11/T 1688-2019标准下载,漏洞危害以及影响范围在机构内部建立统一的漏洞评 并定期维护更新。
b)漏洞加固应尽可能满足有效性及完备性要求,金融机构应采用现行最佳的方式进行漏洞加固。 漏洞加固手段包括但不限于软件补丁、软硬件防护设备、网络控制措施、代码防护和应用升级 改造等措施。 金融机构应及时监测漏洞修复情况。如无法进行修复,测试方应配合金融机构补充临时应急方 案。对于能直接造成系统被控制、敏感数据泄露或业务中断等严重后果的漏洞,其漏洞修复时 间不应超过72小时。 d 对于能直接造成系统被控制、敏感数据泄露、业务中断等严重后果的漏洞,以及金融机构依据 漏洞评级标准评价为中危以上评级的漏洞,应经过测试方复测确认修复。 测试加固增强要求: 金融机构可针对加固工作设置变更流程审批,并在加固前验证加固方案有效性,同时进行数据备份 回退措施。
管理要求基本要求: 金融机构应针对安全测试建立管理制度,明确对应管理工作的目标、范围、原则及实施框架。 金融机构应针对安全测试工作各个相关角色明确定义和职责分工。 金融机构应针对安全测试工作各个相关角色制定明确的操作规程。 金融机构应针对安全测试中的重要及关键操作建立审批流程。 金融机构应针对安全测试方的身份、背景及专业资质进行审查,并签署保密协议。 测试方应在测试前向金融机构提供真实准确的测试方案。方案内容包括但不限于测试项清单、 测试工具清单、测试时间计划和测试人员信息等。 金融机构和测试方均应设置紧急联系人,以便必要时进行沟通。 1 金融机构应就测试方案中的测试人员信息进行统一备案,包括但不限于姓名和手机号码等。金 融机构应仅保留能够通过测试提供商定位到具体人员的基本信息,由测试方或测试组织方留存 与人员身份相关的敏感信息。 金融机构应对安全测试接入的区域、系统、设备和信息等内容应进行书面的规定和记录,并按 照规定严格执行。 测试方应对安全测试制定实施计划,并根据实施计划推进安全测试工作。实施计划应向所有安 全测试相关方同步。 金融机构应指定或授权专门的部门或人员负责安全测试实施过程的监督和管理。 测试方应对安全测试实施人员的行为规范进行书面规定,一且发现违反行为规范的行为应严格 按照规定处理。测试方应出具正式的安全测试报告,其中应至少包含安全测试目标、人员、时 间、测试步骤、测试分析和测试结论以及附录A中的安全测试报告样例所示的其他内容。 金融机构可要求测试方在测试实施过程中,参照附录B中的漏洞报告样例针对所发现的问题按 需逐个提交漏洞报告。 1 测试方应对安全测试残留文件进行明确的记录和说明。测试方有义务协助金融机构进行残留文 件清除及排查工作。 测试方应提供可落地的修复建议。 金融机构应针对安全测试报告进行严格归档和访问授权。 对于网络安全等级保护三级及以上的应用系统及服务,每年应至少进行1次安全测试。 金融机构应定期开展互联网和内网资产测绘工作并进行漏洞扫描测试,每年不少于4次。
JR/T 0213—2021
S)金融机构应指定或 完成安全 测试验收工作 管理要求增强要求: 测试方应能够提供测试全过程的视频记录【北京市】《城市道路公共服务设施设置与管理规范DB11/T 500-2016》,以便在取证时可进行分析回溯
金融机构应指定或 测试验收工作 管理要求增强要求: 则试方应能够提供测试全过程的视频记录,以便在取证时可进行分析回溯