标准规范下载简介
DB33/T 2419-2021 基于安全检测插件的Web应用系统安全检测技术规范.pdf简介:
《DB33/T 2419-2021 基于安全检测插件的Web应用系统安全检测技术规范》是一个由中国浙江省地方标准(DB33/T)发布的技术规范,它主要针对的是基于安全检测插件的Web应用系统的安全检测。这个规范主要目的是为了提升Web应用系统的安全性,通过安全检测插件来识别、评估和管理可能存在的安全风险。
该规范主要涵盖以下几个方面:
1. 检测插件的选取与管理:规定了安全检测插件的类型,如代码审计插件、漏洞扫描插件、日志分析插件等,以及如何管理和更新这些插件。
2. 安全检测流程:描述了从Web应用系统的接入、扫描到分析报告生成的整个安全检测流程,包括定期检测、异常检测和深度检测等环节。
3. 安全指标与评估:明确了检测过程中需要关注的安全指标,如敏感信息泄露、SQL注入、XSS攻击等,以及如何根据这些指标进行安全评估。
4. 安全事件响应:规定了在发现安全威胁时的响应策略,包括如何快速定位问题、修复漏洞以及记录和报告安全事件。
5. 数据保护与隐私:强调了在安全检测过程中对用户数据的保护,确保符合相关法律法规和隐私政策的要求。
总的来说,这个规范为Web应用系统的安全检测提供了一套标准和指南,有助于企业提升网络安全防护能力,减少安全风险。
DB33/T 2419-2021 基于安全检测插件的Web应用系统安全检测技术规范.pdf部分内容预览:
本标准规定了安全检测插件、安全检测控制台的术语和定义,规定了基于安全检测描件的web应用 系统安全检测总体要求、安全检测插件技术要求、安全检测控制台功能要求、接口安全要求。 本标准适用于基于安全检测插件的Web应用系统安全检测技术的设计、开发和使用
下列文件中的内容通过文中的规范性引用而构成本标准必不可少的条款。其中,注日期的引用文件, 仅该日期对应的版本适用于本标准;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本 标准。 GB/T11457一2006信息技术软件工程术语 GB/T250692010信息安全技术术语
DB33/T2419202
安全检测控制台securitydetectionconsole 通过网络通信接口接收安全检测插件信息、下发控制指令,集中控制与管理安全检测插件的管理系 统。
GB∕T 28637-2012 电动采光排烟天窗下列缩略语适用于本标准。 API:应用编程接口(ApplicationProgrammingInterface) HTTP:超文本传输协议(HypertextTransferProtocol) JSON:JavaScript对象表示法(JavaScriptObjectNotation) SQL:结构查询语言(StructureQueryLanguage) URL:统一资源定位符(UniversalResourceLocator) XML:可扩展标记语言(eXtensibleMarkupLanguage)
基于安全检测插件的web应用安全检测系统(以下简称“检测系统”)由嵌入了安全检测插件的web 应用系统和安全检测控制台组成,见图1。安全检测插件采用程序插装和追踪技术,对运行时的Web应用 安全性进行分析,发现web应用的漏洞、识别web应用中开源组件漏洞和许可类型。检测系统用于web应 用软件生存周期的测试和运行阶段,目的是为帮助应用开发者和管理者了解web应用存在的脆弱性和开 原组件的许可类型,改善并提升应用系统抵抗各类Web应用攻击(如:注入攻击、跨站脚本攻击、文件 包含和信息泄露等)的能力,以帮助用户建立安全合规的Web应用服务。Web应用系统使用检测系统进行 安全性检测时,需在Web应用系统中部署安全检测插件,并对Web应用系统执行功能测试用于驱动安全检 测插件的安全性分析
DB33/T2419202
5. 2. 1检测对象影响
5. 2. 2 安全验证
5.2.2.1代码安全审计
.2.2.2安全功能测试
系统发布前应对安全检测控制台的安全功能进行
5. 2. 2. 3 安全性评定
根据检测系统代码安全审计和安全功能测试的结果评定其安全性,检测系统自身不存中危及以 的漏洞,方可准许上线运行。
DB33/T2419202
5.3.1安全检测插件安装
验测对象的所有Web应用服务应安装安全检测插件,安全控制台能正常识别安全检测插件的在线
5. 3. 2 执行检测
执行检测对象功能测试用例,用于驱动安全检测插件的安全性分析,识别检测对象的漏洞和开源组 件风险,功能测试用例应覆盖Web应用的全部功能和接口
6安全检测插件技术要求
应能适应具有安全机制的web应用系统的安全检测,例如在web应用使用传输报文加密机制 证机制、基于不可重复资源访问控制机制时仍能检测漏洞,
a)失效模式,安全检测功能关闭;
6.2.2应具备根据以下条件自动切换工作模式
a)检测对象所在服务器的CPU使用率、内存使用率; b)检测对象Web服务的响应时间、追踪层次数量,
DB33/T2419202
6.4.1应能自动验证漏洞的可利用性。 6.4.2应能根据漏洞的URL、类型等参数控制自动验证功能的启停
6. 5. 1漏洞分析
DB33/T2419202
应能识别开源组件所使用的许可类型。
应包括中国国家信息安全漏洞库、国家信息安全漏洞共享平台、美国国家通用漏洞数据库 披露的漏洞信息。
离线、在线更新漏洞数据库,在线自动更新间
空JAVA、PHP、C#、Python等主流Web开发语言。
6. 6. 2 操作系统兼容
6. 6.3开发框架兼容
应兼容Spring、Spring Cloud、SpringCloudAlibaba、ASP.NET、ThinkPHP、Django等主流Web 开发框架类型。
6.6.4应用服务器兼容
应兼容Nginx、Apache、Tomcat、IIS、WebLogic、WebSphere、东方通、宝兰德等主流Web应用服务 器。
7安全检测控制台功能要求
7.1安全检测插件管理
7.1.1应具备安全检测插件安装向导的功能。
a)支持管理安全检测插件的运行状态; b)支持管理安全检测插件的工作模式; c)支持在线诊断安全检测插件的插装状态、追踪状态等内容。 7.1.5应具备安全检测插件在线日志收集的功能。
7.2.1应具备选择漏洞检测规则的功能。 7.2.2应具备根据漏洞的URL、类型等参数配置漏洞验证规则的功能
7.2.2应具备根据漏洞的URL、类型等参数配置漏洞验证规则的
DB33/T2419202
7.2.3应具备增加安全函数/方法的功能,对已有的漏洞检测规则进行补充。 注:安全函数/方法是指Web应用开发过程中为保证安全用于数据验证(Validating)、净化(Sanitizing)和转义 (Escaping))的函数或方法。 7.2.4应具备增加监控Web应用的函数/方法的功能,对已有的监控函数/方法进行扩展。 7.2.5应具备增加漏洞检测规则的功能,对已有的漏洞检测规则进行扩展 7.2.6应具备根据用户请求的源IP地址、URL、HTTP参数,以及Web应用程序包名等信息创建排除规 则的功能。 注:排除规则是用于定义安全检测插件不执行漏洞检测的条件。当排除规则生效后,满足排除规则所定义的用户请 求不执行漏洞检测,满足程序包名条件的Web应用模块不执行漏洞检测
7.3检测结果分析处理
应提供以下漏洞的相关信息: a 应提供漏洞的形成原因、检测依据、漏洞风险、修复建议、代码示例等内容; b)应提供漏洞检测时的请求信息、响应信息、漏洞代码位置、程序追踪过程、代码调用栈等环 境信息。
7. 3. 2漏洞管理
应提供以下漏洞管理的功能: a)应提供漏洞状态管理的功能; b)应提供状态名称自定义的功能
7.3. 3 统计分析
辽2004G308 (DBTJ05-169-2004)钢筋混凝土雨蓬图集应提供以下统计分析的功能: a)应提供漏洞修复率、漏洞平均修复时间的统计分析的功能 b)应提供Web应用不同版本之间的漏洞状态对比分析的功能。
应支持生成Word、Excel等格式的报告。
DB33/T2419202
安全检测插件应提供通信接口,满足以下要求: a)实现的通过接口可对调用者进行身份认证,调用该接口的安全检测控制台须通过身份认证后 才能对安全检测插件进行管理; b) 安全检测控制台和安全检测插件之间传输检测策略或回传安全日志时,需确保通信安全和数 据安全,防止重放、窃听或纂改攻击。
安全检测控制台与安全检测插件之间的通信接口应满足如下通信协议要求: a)管理命令请求和响应消息格式应满足JSON格式要求; b 管理命令请求和响应消息应分别封装在HTTP协议请求消息和响应消息中进行传输; )将JSON格式的管理命令请求和响应消息封装到HTTP协议前,应进行加密和编码处理
8.3安全连接密钥管理
安全检测控制台应能接受来自安全检测插件的安全连接请求,并采用安全连接密钥验证安全连接的 有效性,具体应满足如下要求: a)应在安全检测插件安装前或安装过程中,由安全检测控制台为受保护的Web应用系统生成 个安全连接密钥,并通过安全方式传输到Web应用系统,并由双方安全保存; 6 安全检测控制台在发送JSON格式的安全管理命令请求消息时,应在消息中附加上与所管理的 Web应用系统匹配的安全管理密钥,Web应用系统应基于本地安全保存的安全连接密钥对安全 检测控制台发送的JSON格式管理命令请求消息进行验证,应在安全连接密钥匹配成功情况下, 才真正执行安全检测控制台下发的安全管理命令
8.4安全管理命令消息解封和封装
安全检测插件应支持对安全检测控制台发送的管理命令请求消息进行安全解封,以及对将要发送到 安全检测控制台的管理请求响应消息进行安全封装,具体要求如下: a)对于接收到的安全管理命令请求消息《冷轧带肋钢筋混凝土结构技术规程 JGJ95-2011》,安全检测插件应采用Base64(RFC3548)解码获取本地存 储的会话加密密钥,采用双方协商的加密算法对消息进行解密,得到JSON格式的管理命令请 求消息; b 如解密后JSON格式的管理命令请求消息中包含了签名数据,安全检测插件应获取本地存储的 会话签名密钥,采用双方协商的签名算法对签名进行验证,如验证失败,应直接丢弃该管理 命令; 安全检测插件应从消息中抽取安全连接密钥,并和本地的安全连接密钥进行比较,比对成功 后执行管理命令; d 对于安全检测插件需发送的安全管理命令响应消息,如web应用系统收到安全检测控制台下 发的会话签名密钥,应采用存储于本地的会话签名密钥对消息进行签名以及Base64编码,并 将编码后的数据封装在HTTP响应消息中; e 对于安全检测插件需要发送的安全管理命令响应消息,应采用存储于本地的会话加密密钥对 消息进行加密,并对加密数据进行Base64编码后封装在HTTP响应消息中