ICS 35.240.50 CCS L 67 33 浙 江 省 地 方 标 准 DB33/T 2419—2021 基于安全检测插件的 Web 应用系统安全检 测技术规范 Technical specification for security detection of web application system based on security detection plug-in 2021 - 12 - 24 发布 2022 - 01 - 24 实施 浙江省市场监督管理局 发 布 DB33/T 2419—2021 目 次 前言 ................................................................................. II 1 范围 ............................................................................... 1 2 规范性引用文件 ..................................................................... 1 3 术语和定义 ......................................................................... 1 4 缩略语 ............................................................................. 2 5 安全检测总体要求 ................................................................... 2 6 安全检测插件技术要求 ............................................................... 4 7 安全检测控制台功能要求 ............................................................. 6 8 接口安全要求 ....................................................................... 7 I DB33/T 2419—2021 前 言 本标准按照GB/T 1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本标准的某些内容可能涉及专利。本标准的发布机构不承担识别专利的责任。 本标准由浙江省公安厅提出并归口。 本标准起草单位：浙江警察学院、公安部第一研究所、浙江省互联网信息办公室、浙江省大数据发 展管理局、浙江省卫生健康信息中心、浙江省教育技术中心、国家计算机网络应急技术处理协调中心浙 江分中心、杭州医学院、浙江省药械采购中心、浙江移动网管中心、杭州孝道科技有限公司、浙江省方 大标准信息有限公司。 本标准主要起草人：周国民、陈光宣、辛均益、刘强、杨卫军、吕勇刚、王晓冬、王宏宇、陈坚华、 李剑锋、马骏野、蒋熠、赵丹、赵利、诸丽静、李龙、范丙华、徐锋、刘永瑞、朱旭丽、陈群、魏春梅、 王宁、黄克鑫、胡博。 本标准为首次发布。 II DB33/T 2419—2021 基于安全检测插件的 Web 应用系统安全检测技术规范 1 范围 本标准规定了安全检测插件、安全检测控制台的术语和定义，规定了基于安全检测插件的Web应用 系统安全检测总体要求、安全检测插件技术要求、安全检测控制台功能要求、接口安全要求。 本标准适用于基于安全检测插件的Web应用系统安全检测技术的设计、开发和使用。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本标准必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本标准；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 标准。 GB/T 11457—2006 信息技术 软件工程术语 GB/T 25069—2010 信息安全技术 术语 3 术语和定义 GB/T 11457—2006和GB/T 25069—2010界定的以及下列术语和定义适用于本标准。 3.1 程序插装 program instrumentation a) 插入到计算机程序中的探头。如指令或断言，以利于执行监控、正确性证明、资源监控或其 他活动。 b) 准备探头并把它插入到计算机程序中去的过程。 [来源：GB/T 11457—2006，2.1235] 3.2 追踪 trace 计算机程序执行的记录，它显示执行的指令的顺序、变量的名和值或两者。类型包括执行踪迹、回 顾的踪迹、子例程踪迹、符号踪迹、变量踪迹。 [来源：GB/T 11457—2006，2.1751，有修改] 3.3 加密 encipherment/encryption 对数据进行密码变换以产生密文的过程。一般包含一个变换集合，该变换使用一套算法和一套输入 参量。输入参量通常被称为密钥。 [来源：GB/T 25069—2010，2.2.2.60] 3.4 安全检测插件 security detection plug-in 通过程序插装和追踪等方法，检测应用程序漏洞，识别应用程序开源组件的动态分析部件。 1 DB33/T 2419—2021 3.5 安全检测控制台 security detection console 通过网络通信接口接收安全检测插件信息、下发控制指令，集中控制与管理安全检测插件的管理系 统。 4 缩略语 下列缩略语适用于本标准。 API：应用编程接口（Application Programming Interface） HTTP：超文本传输协议(Hypertext Transfer Protocol) JSON：JavaScript对象表示法(JavaScript Object Notation) SQL：结构查询语言（Structure Query Language） URL：统一资源定位符（Universal Resource Locator） XML：可扩展标记语言（eXtensible Markup Language） 5 安全检测总体要求 5.1 技术架构 基于安全检测插件的Web应用安全检测系统（以下简称“检测系统”）由嵌入了安全检测插件的Web 应用系统和安全检测控制台组成，见图1。安全检测插件采用程序插装和追踪技术，对运行时的Web应用 安全性进行分析，发现Web应用的漏洞、识别Web应用中开源组件漏洞和许可类型。检测系统用于Web应 用软件生存周期的测试和运行阶段，目的是为帮助应用开发者和管理者了解Web应用存在的脆弱性和开 源组件的许可类型，改善并提升应用系统抵抗各类Web应用攻击（如：注入攻击、跨站脚本攻击、文件 包含和信息泄露等）的能力，以帮助用户建立安全合规的Web应用服务。Web应用系统使用检测系统进行 安全性检测时，需在Web应用系统中部署安全检测插件，并对Web应用系统执行功能测试用于驱动安全检 测插件的安全性分析。 2 DB33/T 2419—2021 控制层 安全检测控制台 管 理 控 制 指 令 插件层 状 态 与 漏 洞 信 息 Web 应用系统 Web 应用系统 …… 安全检测插件 用户层 安全管理接口 安全检测插件 请 求 Web 应用系统 …… 安全检测插件 响 应 网络 …… 用户 用户 图1 技术架构 5.2 基本要求 5.2.1 检测对象影响 检测系统应避免影响目标Web应用的正常工作，例如应避免产生脏数据和脏操作。 5.2.2 安全验证 5.2.2.1 代码安全审计 检测系统发布前应对安全检测插件执行代码安全审计，减少代码中存在的脆弱性问题。 5.2.2.2 安全功能测试 检测系统发布前应对安全检测控制台的安全功能进行安全性测试。 5.2.2.3 安全性评定 根据检测系统代码安全审计和安全功能测试的结果评定其安全性，检测系统自身不存中危及以上等 级的漏洞，方可准许上线运行。 3 DB33/T 2419—2021 5.3 安全检测 5.3.1 安全检测插件安装 检测对象的所有Web应用服务应安装安全检测插件，安全控制台能正常识别安全检测插件的在线状 态。 5.3.2 执行检测 执行检测对象功能测试用例，用于驱动安全检测插件的安全性分析，识别检测对象的漏洞和开源组 件风险，功能测试用例应覆盖Web应用的全部功能和接口。 6 安全检测插件技术要求 6.1 适应能力 应能适应具有安全机制的Web应用系统的安全检测，例如在Web应用使用传输报文加密机制、签名验 证机制、基于不可重复资源访问控制机制时仍能检测漏洞。 6.2 工作模式 6.2.1 应具备以下工作模式： a) b) 失效模式，安全检测功能关闭； 检测模式，安全检测功能开启。 6.2.2 应具备根据以下条件自动切换工作模式的能力： a) b) 检测对象所在服务器的 CPU 使用率、内存使用率； 检测对象 Web 服务的响应时间、追踪层次数量。 6.3 漏洞检测 安全检测插件应能识别的Web应用漏洞包括但不限于以下内容： a) 输入验证错误类 ——Hibernate 注入漏洞； ——命令注入漏洞； ——SQL 注入漏洞； ——JAVA 反射注入漏洞； ——XML 路径注入漏洞； ——简单邮件传输协议注入漏洞； ——表达式注入漏洞； ——XML 外部实体注入漏洞； ——轻量级目录访问注入漏洞； ——NoSQL 注入漏洞； ——服务器端请求伪造漏洞； ——跨站脚本攻击漏洞； 4 DB33/T 2419—2021 b) c) d) e) ——HTTP 响应分割漏洞； ——日志注入漏洞； ——目录遍历漏洞； ——文件包含漏洞； ——URL 跳转漏洞； ——JSON 劫持漏洞； ——文件流拒绝服务漏洞； ——跨站请求伪造漏洞； ——正则表达式拒绝服务漏洞。 授权问题类 ——弱口令漏洞； ——反序列化漏洞。 配置错误类 ——不安全的 HTTP 方法漏洞； ——不安全的 JSP 访问漏洞； ——会话超时时间配置不当漏洞； ——Web 服务器版本泄露漏洞； ——不充分的 SSL 连接漏洞； ——不安全的认证漏洞； ——HTTP 报文安全头缺失漏洞； ——HTTP 报文安全头配置不当漏洞； ——缺少自定义错误页面漏洞。 处理逻辑错误类 ——会话重写漏洞； ——服务器请求不安全的资源漏洞； ——不安全登出漏洞。 加密问题类 ——使用弱加密算法漏洞； ——使用弱随机数漏洞； ——密码硬编