《信息安全技術(shù)Web應(yīng)用安全檢測系統(tǒng)安全技術(shù)要求和測試評價方法》

GB/TXXXXX—XXXX

信息安全技術(shù)Web應(yīng)用安全檢測系統(tǒng)安全技術(shù)要求和測試評價方法

1范圍

本標準規(guī)定了Web應(yīng)用安全檢測系統(tǒng)的安全技術(shù)要求、測試評價方法及等級劃分要求。

本標準適用于Web應(yīng)用安全檢測系統(tǒng)的開發(fā)及檢測。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。

凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T18336.3-2015信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準則第3部分：安全保障組件

GB/T25069-2010信息安全技術(shù)術(shù)語

3術(shù)語和定義

GB/T25069界定的以及下列術(shù)語和定義適用于本文件。

3.1

Web應(yīng)用安全檢測系統(tǒng)webapplicationsecurityscanningsystem

一種掃描發(fā)現(xiàn)Web系統(tǒng)應(yīng)用層安全漏洞的產(chǎn)品，能夠依據(jù)策略對Web應(yīng)用系統(tǒng)進行URL發(fā)現(xiàn)并掃描，

對發(fā)現(xiàn)的安全漏洞提出相應(yīng)的改進意見。

3.2

Web應(yīng)用Webapplication

由動態(tài)腳本、編譯過的代碼等組合而成的應(yīng)用，通常架設(shè)在Web服務(wù)器上，用戶在Web瀏覽器上發(fā)送

請求，這些請求使用HTTP協(xié)議，經(jīng)過網(wǎng)絡(luò)和Web應(yīng)用交互，由Web應(yīng)用和后臺的數(shù)據(jù)庫及其他動態(tài)內(nèi)容通

信。

3.3

URL發(fā)現(xiàn)URLdetection

通過訪問一個URL，發(fā)現(xiàn)通過該URL能夠鏈接到的其他URL的過程，能夠發(fā)現(xiàn)的URL包括在網(wǎng)頁中出現(xiàn)

的完整的URL、通過各種計算得出的URL、各種跳轉(zhuǎn)的URL等。

3.4

Web服務(wù)WebService

一個基于WSDL文件的應(yīng)用程序，向外界提供一個能夠通過Web進行調(diào)用的API。WebService描述

語言(WSDL)是一個基于XML的語言，用于描述WebService及其函數(shù)、參數(shù)和返回值。

3.5

SQL注入SQLinjection

通過構(gòu)造特定的輸入字符串實現(xiàn)對Web應(yīng)用系統(tǒng)后臺數(shù)據(jù)庫的非法操作。

3.6

Cookie注入cookieinjection

通過構(gòu)造特定的Cookie值實現(xiàn)對Web應(yīng)用系統(tǒng)后臺數(shù)據(jù)庫的非法操作。

3.7

跨站攻擊crosssitescripting

1

GB/TXXXXX—XXXX

指將惡意腳本隱藏在用戶提交的數(shù)據(jù)中，實現(xiàn)篡改服務(wù)器正常的響應(yīng)頁面。

3.8

跨站請求偽造crosssiterequestforgery

通過偽裝來自受信任用戶的請求來利用受信任的Web系統(tǒng)來完成一定的操作。

3.9

文件包含fileinclusion

一種通過Web應(yīng)用腳本特性（函數(shù)）去包含任意文件時，由于要包含的這個文件來源過濾不嚴，從

而可以去包含一個惡意文件來達到非法操作。

3.10

命令執(zhí)行commandexecution

由于服務(wù)器端沒有針對執(zhí)行函數(shù)做過濾，導(dǎo)致客戶端可以提交惡意構(gòu)造語句提交來執(zhí)行系統(tǒng)命令的

非法操作。

3.11

LDAP注入LDAPInjection

通過用戶提供的輸入來構(gòu)造輕量級目錄訪問控制語句，從而攻擊Web應(yīng)用。

3.12

XPath注入XPathInjection

由用戶提供的輸入構(gòu)造XPath查詢，從而攻擊Web應(yīng)用。

3.13

變形檢測deformationdetection

一種通過編碼、請求包變化等方法，實現(xiàn)繞過防護過濾的機制。

3.14

誤報率falsepositiverate

產(chǎn)品判斷錯誤的漏洞數(shù)量占所有發(fā)現(xiàn)到的同類型漏洞總數(shù)的比例。例如被產(chǎn)品錯誤判斷為存在SQL

注入漏洞的網(wǎng)頁占發(fā)現(xiàn)的全部存在SQL注入漏洞的網(wǎng)頁的比例。

3.15

漏報率falsenegativerate

產(chǎn)品未發(fā)現(xiàn)的漏洞數(shù)量占掃描范圍內(nèi)實際同類型漏洞總數(shù)的比例。例如產(chǎn)品未發(fā)現(xiàn)的SQL注入點占

掃描范圍內(nèi)實際注入點總數(shù)的比例。

4縮略語

CSRF：跨站請求偽造（CrossSiteRequestForgery)

HTTP：超文本傳輸協(xié)議（HyperTextTransferProtocol）

HTTPS：安全超文本傳輸協(xié)議（HypertextTransferProtocoloverSecureSocketLayer）

LDAP：輕量目錄訪問協(xié)議（LightweightDirectoryAccessProtocol）

OWASP：開放式網(wǎng)頁應(yīng)用程序安全項目（OpenWebApplicationSecurityProject）

SQL：結(jié)構(gòu)化查詢語言（StructuredQueryLanguage）

SSL：安全套接層（SecureSocketsLayer）

URL：統(tǒng)一資源定位符，也稱網(wǎng)頁地址（UniversalResourceLocator）

WSDL：web服務(wù)描述語言（WebServicesDescriptionLanguage）

XSS：跨站腳本（CrossSiteScripting）

5安全技術(shù)要求

2

GB/TXXXXX—XXXX

5.1總體說明

5.1.1Web應(yīng)用安全檢測系統(tǒng)描述

Web應(yīng)用安全檢測系統(tǒng)的目的就是幫助用戶充分了解Web應(yīng)用存在的安全隱患，建立安全可靠的Web

應(yīng)用服務(wù)，改善并提升應(yīng)用系統(tǒng)抗各類Web應(yīng)用攻擊的能力（如：注入攻擊、跨站腳本、文件包含和信

息泄漏等）。Web應(yīng)用安全檢測系統(tǒng)架構(gòu)如圖1所示：

圖1Web應(yīng)用安全檢測系統(tǒng)架構(gòu)圖

1）檢測模塊

系統(tǒng)核心模塊。掃描開始后，向掃描引擎發(fā)送指令，掃描選中對象目標，收集正確的掃描信息，同

時可以把掃描引擎返回的掃描結(jié)果展示給用戶。

2）報表管理

對掃描結(jié)果進行分析處理，提供詳細的檢測掃描報告，對所有漏洞進行詳盡描述，以及相應(yīng)的修復(fù)

和改進建議。

3）策略管理

提供Web應(yīng)用安全檢測系統(tǒng)的策略庫，能夠按照漏洞類型、類別和危害程度等進行分類。同時，可

支持漏洞策略的自定義擴展。

4）用戶管理

對系統(tǒng)的用戶角色和權(quán)限進行分配管理。

5）任務(wù)設(shè)置

用以創(chuàng)建和定制掃描任務(wù)，能夠按照計劃任務(wù)啟動掃描，可進行掃描暫停、重新掃描和移除掃描任

務(wù)等操作。

6）系統(tǒng)設(shè)置

對系統(tǒng)進行設(shè)置，包括系統(tǒng)安全設(shè)置、更新管理和絡(luò)鏈接設(shè)置等。

5.1.2要求分類

本標準將Web應(yīng)用安全檢測系統(tǒng)安全技術(shù)要求分為安全功能、安全保障和性能要求三個大類。其中，

安全功能要求是對Web應(yīng)用安全檢測系統(tǒng)應(yīng)具備的安全功能提出具體要求，主要包括掃描能力、掃描配

置管理和掃描結(jié)果分析處理等；安全保障要求針對Web應(yīng)用安全檢測系統(tǒng)的開發(fā)過程和文檔內(nèi)容提出具

體的要求，例如開發(fā)、指導(dǎo)性文檔、生命周期支持和測試等；性能要求則是對Web應(yīng)用安全檢測系統(tǒng)應(yīng)

達到的性能指標作出規(guī)定，包括誤報率、漏報率和URL發(fā)現(xiàn)率。

5.1.3安全等級

3

GB/TXXXXX—XXXX

本標準按照Web應(yīng)用安全檢測系統(tǒng)安全功能的強度劃分安全功能要求的級別，參照GB/T18336.3-

2015劃分安全保障要求的級別。安全等級分為基本級和增強級，如表1、表2所示。安全功能強弱和安全

保障要求高低是等級劃分的具體依據(jù)。安全等級突出安全特性，性能要求不作為等級劃分依據(jù)。與基本

級內(nèi)容相比，增強級中要求有所增加或變更的內(nèi)容在正文中通過“宋體加粗”表示。

表1安全功能要求等級劃分表

安全功能基本級增強級

資源發(fā)現(xiàn)***

漏洞檢測***

變形檢測——*

狀態(tài)監(jiān)測——**

掃描能力內(nèi)容檢測——*

升級能力***

支持SSL應(yīng)用**

WebService支持——*

對目標系統(tǒng)的影響**

向?qū)Чδ?*

掃描范圍***

登錄掃描**

策略選擇***

掃描配置管理掃描策略

策略擴展——*

掃描速度***

任務(wù)定制***

穩(wěn)定性和容錯性***

結(jié)果驗證***

結(jié)果保存**

結(jié)果分析處理統(tǒng)計分析**

報告生成***

報告輸出**

互動性要求——*

屬性定義**

用戶標識屬性初始化**

標識與鑒別唯一性標識**

用戶鑒別**

身份鑒別

鑒別數(shù)據(jù)保護**

4

GB/TXXXXX—XXXX

表1（續(xù)）

安全功能基本級增強級

鑒別失敗處理——*

標識與鑒別身份鑒別

超時鎖定或注銷——*

安全管理功能**

安全角色管理***

安全管理

遠程安全傳輸**

可信管理主機——*

審計日志生成***

審計日志審計日志保存**

審計日志管理**

注：“*”表示具有該要求，“**”表示要求有所增強，“——”表示不適用。

表2安全保障要求等級劃分表

安全保障要求基本級增強級

安全架構(gòu)**

功能規(guī)范***

開發(fā)

實現(xiàn)表示——*

產(chǎn)品設(shè)計***

操作用戶指南**

指導(dǎo)性文檔

準備程序**

配置管理能力***

配置管理范圍***

交付程序**

生命周期支持

開發(fā)安全——*

生命周期定義——*

工具和技術(shù)——*

測試覆蓋***

測試深度——*

測試

功能測試**

獨立測試**

脆弱性評定***

5.2基本級安全要求

5.2.1安全功能要求

掃描能力

5

GB/TXXXXX—XXXX

.1資源發(fā)現(xiàn)

產(chǎn)品應(yīng)能夠發(fā)現(xiàn)Web應(yīng)用中的以下各種URL，并以樹型結(jié)構(gòu)呈現(xiàn)。

a)解析和執(zhí)行JavaScript等腳本而獲得的URL；

b)頁面文件包括的URL；

c)Flash中內(nèi)嵌的URL。

.2漏洞檢測

產(chǎn)品應(yīng)能夠檢測出Web應(yīng)用漏洞，包括但不限于以下內(nèi)容：

a)SQL注入漏洞，支持基于GET、POST方式提交的應(yīng)包括字符、數(shù)字和搜索等的注入漏洞；

b)Cookie注入漏洞，支持基于Cookie方式提交的應(yīng)包括字符、數(shù)字和搜索等的注入漏洞；

c)XSS漏洞，支持基于GET、POST方式的跨站攻擊漏洞；

d)CSRF漏洞；

e)目錄遍歷漏洞；

f)信息泄漏漏洞，支持路徑泄漏、文件備份、源代碼泄漏、目錄瀏覽和phpinfo等信息泄漏；

g)認證方式脆弱，包括但不限于常見的帳號、弱口令等；

h)文件包含漏洞，支持遠程、本地方式的文件包含漏洞。

.3升級能力

產(chǎn)品應(yīng)支持漏洞特征庫的更新能力。

.4支持SSL應(yīng)用

產(chǎn)品應(yīng)能對基于HTTPS協(xié)議的Web應(yīng)用系統(tǒng)進行掃描。

.5對目標系統(tǒng)的影響

產(chǎn)品在掃描過程中應(yīng)避免影響目標Web應(yīng)用系統(tǒng)的正常工作，不對其產(chǎn)生較大的性能影響。

掃描配置管理

.1向?qū)Чδ?/p>

產(chǎn)品應(yīng)提供向?qū)Чδ?，方便用戶進行配置。

.2掃描范圍

產(chǎn)品應(yīng)能夠按照下列條件配置掃描的范圍：

a)指定域名和URL；

b)掃描的深度；

c)不掃描的URL，例如登出、刪除等相關(guān)頁面。

.3登錄掃描

產(chǎn)品應(yīng)能夠基于用戶的登錄信息對Web應(yīng)用進行掃描。如基于錄制信息、Cookie、Session和Token

等一種或多種方式授權(quán)登錄并進行掃描。

.4策略選擇

產(chǎn)品應(yīng)能夠按照下列方式來選擇掃描策略：

a)漏洞類型、類別；

b)漏洞危害程度。

.5掃描速度

產(chǎn)品應(yīng)能夠采用配置HTTP請求速度、掃描線程或進程數(shù)目等方式調(diào)節(jié)掃描速度。

.6任務(wù)定制

產(chǎn)品應(yīng)能按照計劃任務(wù)實現(xiàn)批量啟動掃描，并根據(jù)設(shè)置自動生成相應(yīng)的報告。

.7穩(wěn)定性和容錯性

產(chǎn)品應(yīng)能夠穩(wěn)定的運行：

6

GB/TXXXXX—XXXX

a)主界面不應(yīng)失去響應(yīng)或非正常退出；

b)掃描進度不應(yīng)停滯不前；

c)掃描任務(wù)應(yīng)可隨時停止；

d)應(yīng)支持斷點續(xù)掃。

掃描結(jié)果分析處理

.1結(jié)果驗證

產(chǎn)品應(yīng)具備Web應(yīng)用漏洞驗證的功能，提供參數(shù)驗證XSS漏洞、SQL注入點、目錄遍歷、信息泄漏和

命令執(zhí)行等安全漏洞。

.2結(jié)果保存

掃描結(jié)果應(yīng)非明文存儲于掉電非易失性介質(zhì)中。

.3統(tǒng)計分析

產(chǎn)品應(yīng)能對掃描獲取的原始數(shù)據(jù)進行整理，并對結(jié)果進行統(tǒng)計分析。

.4報告生成

產(chǎn)品應(yīng)能對掃描結(jié)果進行分析并形成報告，報告可分為下列類別:

a)對掃描信息的結(jié)果生成相應(yīng)報告，漏洞信息應(yīng)包括URL、漏洞名稱、漏洞描述等詳細信息；

b)產(chǎn)品應(yīng)對漏洞提出相應(yīng)的安全性建議。

.5報告輸出

產(chǎn)品的掃描報告應(yīng)能按下列要求輸出：

a)導(dǎo)出為常用文檔格式（支持Html、Doc、Pdf其中的一種或幾種）；

b)通過文字、圖表等形式將統(tǒng)計結(jié)果展現(xiàn)。

標識與鑒別

.1用戶標識

.1.1屬性定義

產(chǎn)品應(yīng)為每個管理角色規(guī)定與之相關(guān)的安全屬性，例如管理角色標識、鑒別信息、隸屬組、權(quán)限等。

.1.2屬性初始化

產(chǎn)品應(yīng)提供使用默認值對創(chuàng)建的每個管理角色的屬性進行初始化的能力。

.1.3唯一性標識

產(chǎn)品應(yīng)為用戶提供唯一標識。同時將用戶的身份標識與該用戶的所有可審計能力相關(guān)聯(lián)。

.2身份鑒別

.2.1用戶鑒別

產(chǎn)品應(yīng)在執(zhí)行任何與管理員相關(guān)功能之前鑒別用戶的身份。

.2.2鑒別數(shù)據(jù)保護

產(chǎn)品應(yīng)保證鑒別數(shù)據(jù)不被未授權(quán)查閱或修改。

安全管理

7

GB/TXXXXX—XXXX

.1安全功能管理

應(yīng)允許授權(quán)管理員對產(chǎn)品進行以下管理：

a)查看安全屬性；

b)修改安全屬性；

c)啟動、關(guān)閉全部或部分安全功能；

d)制定和修改各種安全策略。

.2安全角色管理

產(chǎn)品應(yīng)具有至少兩種不同權(quán)限的管理員角色，例如操作員、安全員、審計員等。

.3遠程安全傳輸

若產(chǎn)品組件間通過網(wǎng)絡(luò)進行通訊，應(yīng)采取措施保障傳輸數(shù)據(jù)的安全性。

審計日志

.1審計日志生成

應(yīng)對與自身安全相關(guān)的以下事件生成審計日志：

a)管理員的登錄成功和失??；

b)對安全策略進行配置的操作；

c)對安全角色進行增加、刪除和屬性修改的操作。

產(chǎn)品應(yīng)在每一個審計日志記錄中記錄事件發(fā)生的日期、時間、用戶標識、事件描述和結(jié)果。若采用

遠程登錄方式對產(chǎn)品進行管理還應(yīng)記錄管理主機的地址。

.2審計日志保存

審計日志應(yīng)能存儲于永久性存儲介質(zhì)中。

.3審計日志管理

應(yīng)提供下列審計日志管理功能：

a)只允許授權(quán)管理員訪問審計日志；

b)提供針對操作用戶、日期時間和操作類型等條件的查詢和檢索功能；

c)授權(quán)管理員應(yīng)能存檔和導(dǎo)出審計日志。

5.2.2安全保障要求

開發(fā)

.1安全架構(gòu)

開發(fā)者應(yīng)提供產(chǎn)品安全功能的安全架構(gòu)描述，安全架構(gòu)描述應(yīng)滿足以下要求：

a)與產(chǎn)品設(shè)計文檔中對安全功能實施抽象描述的級別一致；

b)描述與安全功能要求一致的產(chǎn)品安全功能的安全域；

c)描述產(chǎn)品安全功能初始化過程為何是安全的；

d)證實產(chǎn)品安全功能能夠防止被破壞；

e)證實產(chǎn)品安全功能能夠防止安全特性被旁路。

.2功能規(guī)范

8

GB/TXXXXX—XXXX

開發(fā)者應(yīng)提供完備的功能規(guī)范說明，功能規(guī)范說明應(yīng)滿足以下要求：

a)完全描述產(chǎn)品的安全功能；

b)描述所有安全功能接口的目的與使用方法；

c)標識和描述每個安全功能接口相關(guān)的所有參數(shù)；

d)描述安全功能接口相關(guān)的安全功能實施行為；

e)描述由安全功能實施行為處理而引起的直接錯誤消息；

f)證實安全功能要求到安全功能接口的追溯。

.3產(chǎn)品設(shè)計

開發(fā)者應(yīng)提供產(chǎn)品設(shè)計文檔，產(chǎn)品設(shè)計文檔應(yīng)滿足以下要求：

a)根據(jù)子系統(tǒng)描述產(chǎn)品結(jié)構(gòu)；

b)標識和描述產(chǎn)品安全功能的所有子系統(tǒng)；

c)描述安全功能所有子系統(tǒng)間的相互作用；

d)提供的映射關(guān)系能夠證實設(shè)計中描述的所有行為能夠映射到調(diào)用它的安全功能接口。

指導(dǎo)性文檔

.1操作用戶指南

開發(fā)者應(yīng)提供明確和合理的操作用戶指南，操作用戶指南與為評估而提供的其他所有文檔保持一

致，對每一種用戶角色的描述應(yīng)滿足以下要求：

a)描述在安全處理環(huán)境中被控制的用戶可訪問的功能和特權(quán)，包含適當?shù)木拘畔ⅲ?/p>

b)描述如何以安全的方式使用產(chǎn)品提供的可用接口；

c)描述可用功能和接口，尤其是受用戶控制的所有安全參數(shù)，適當時指明安全值；

d)明確說明與需要執(zhí)行的用戶可訪問功能有關(guān)的每一種安全相關(guān)事件，包括改變安全功能所控制

實體的安全特性；

e)標識產(chǎn)品運行的所有可能狀態(tài)（包括操作導(dǎo)致的失敗或者操作性錯誤），以及它們與維持安全

運行之間的因果關(guān)系和聯(lián)系；

f)充分實現(xiàn)安全目的所必須執(zhí)行的安全策略。

.2準備程序

開發(fā)者應(yīng)提供產(chǎn)品及其準備程序，準備程序描述應(yīng)滿足以下要求：

a)描述與開發(fā)者交付程序相一致的安全接收所交付產(chǎn)品必需的所有步驟；

b)描述安全安裝產(chǎn)品及其運行環(huán)境必需的所有步驟。

生命周期支持

.1配置管理能力

開發(fā)者的配置管理能力應(yīng)滿足以下要求：

a)為產(chǎn)品的不同版本提供唯一的標識；

b)使用配置管理系統(tǒng)對組成產(chǎn)品的所有配置項進行維護，并唯一標識配置項；

c)提供配置管理文檔，配置管理文檔描述用于唯一標識配置項的方法。

.2配置管理范圍

開發(fā)者應(yīng)提供產(chǎn)品配置項列表，并說明配置項的開發(fā)者。配置項列表至少包含產(chǎn)品、安全保障要求

的評估證據(jù)和產(chǎn)品的組成部分。

.3交付程序

開發(fā)者應(yīng)使用一定的交付程序交付產(chǎn)品，并將交付過程文檔化。在給用戶方交付產(chǎn)品的各版本時，

交付文檔應(yīng)描述為維護安全所必需的所有程序。

9

GB/TXXXXX—XXXX

測試

.1測試覆蓋

開發(fā)者應(yīng)提供測試覆蓋文檔，測試覆蓋描述應(yīng)表明測試文檔中所標識的測試與功能規(guī)范中所描述的

產(chǎn)品的安全功能間的對應(yīng)性。

.2功能測試

開發(fā)者應(yīng)測試產(chǎn)品安全功能，將結(jié)果文檔化并提供測試文檔。測試文檔應(yīng)包括以下內(nèi)容：

a)測試計劃，標識要執(zhí)行的測試，并描述執(zhí)行每個測試的方案，這些方案包括對于其它測試結(jié)果

的任何順序依賴性；

b)預(yù)期的測試結(jié)果，表明測試成功后的預(yù)期輸出；

c)實際測試結(jié)果和預(yù)期的測試結(jié)果一致。

.3獨立測試

開發(fā)者應(yīng)提供一組與其自測安全功能時使用的同等資源，以用于安全功能的抽樣測試。

脆弱性評定

基于已標識的潛在脆弱性，產(chǎn)品能夠抵抗具有基本攻擊潛力攻擊者的攻擊。

5.3增強級安全要求

5.3.1安全功能要求

掃描能力

.1資源發(fā)現(xiàn)

產(chǎn)品應(yīng)能夠發(fā)現(xiàn)Web應(yīng)用中的以下各種URL，并以樹型結(jié)構(gòu)呈現(xiàn)。

a)解析和執(zhí)行JavaScript等腳本而獲得的URL；

b)頁面文件包括的URL；

c)Flash、Flex中內(nèi)嵌的URL。

.2漏洞檢測

產(chǎn)品應(yīng)能夠檢測出Web應(yīng)用漏洞，包括但不限于以下內(nèi)容：

a)SQL注入漏洞，支持基于GET、POST方式提交的應(yīng)包括字符、數(shù)字和搜索等的注入漏洞；

b)Cookie注入漏洞，支持基于Cookie方式提交的應(yīng)包括字符、數(shù)字和搜索等的注入漏洞；

c)XSS漏洞，支持基于GET、POST、Referrer和Cookie方式的跨站攻擊漏洞；

d)CSRF漏洞；

e)目錄遍歷漏洞；

f)信息泄漏漏洞，支持路徑泄漏、文件備份、源代碼泄漏、目錄瀏覽和phpinfo等信息泄漏；

g)認證方式脆弱，包括但不限于各種登錄繞過、常見的帳號、弱口令等。

h)文件包含漏洞，支持遠程、本地方式的文件包含漏洞；

i)命令執(zhí)行漏洞；

j)第三方組件的漏洞，如Struts2、FCKeditor編輯器等；

l)LDAP注入漏洞；

m)XPath注入漏洞。

.3變形檢測

產(chǎn)品應(yīng)支持漏洞的變形檢測，以此繞過簡單的防護過濾檢測機制。支持包括大小寫隨機轉(zhuǎn)換、多

種繞過空格限制、空格替換和URL編碼等機制。

10

GB/TXXXXX—XXXX

.4狀態(tài)監(jiān)測

檢測目標系統(tǒng)的訪問狀態(tài)，包括但不限于對以下非正常狀態(tài)進行檢測并評估風險：

a)不可訪問；

b)訪問延遲；

c)域名跳轉(zhuǎn)變化；

d)域名解析IP變化；

e)被搜索引擎標記為危險的站點。

.5內(nèi)容檢測

檢測目標系統(tǒng)請求返回的內(nèi)容，對以下非正常的返回內(nèi)容進行檢測并評估風險：

a)判別內(nèi)容變更；

b)識別敏感關(guān)鍵字。

.6升級能力

產(chǎn)品應(yīng)提供以下升級能力：

a)支持漏洞特征庫的更新；

b)至少采取一種安全機制，保證升級的時效性，例如自動升級，更新通知等手段。

.7支持SSL應(yīng)用

產(chǎn)品應(yīng)能對基于HTTPS協(xié)議的Web應(yīng)用系統(tǒng)進行掃描。

.8WebService支持

產(chǎn)品應(yīng)能基于WSDL文件，對WebService進行掃描。

.9對目標系統(tǒng)的影響

產(chǎn)品在掃描過程中應(yīng)避免影響目標Web應(yīng)用系統(tǒng)的正常工作，不對其產(chǎn)生較大的性能影響。

掃描配置管理

.1向?qū)Чδ?/p>

產(chǎn)品應(yīng)提供向?qū)Чδ?，方便用戶進行配置。

.2掃描范圍

產(chǎn)品應(yīng)能夠按照下列條件配置掃描的范圍：

a)指定域名和URL；

b)掃描的深度；

c)不掃描的URL，例如登出、刪除等相關(guān)頁面；

d)路徑模式排重；

e)路徑模式大小寫區(qū)分。

.3登錄掃描

產(chǎn)品應(yīng)能夠基于用戶的登錄信息對Web應(yīng)用進行掃描。如基于錄制信息、Cookie、Session和Token

等一種或多種方式授權(quán)登錄并進行掃描。

.4掃描策略

.4.1策略選擇

產(chǎn)品應(yīng)能夠按照下列方式來選擇掃描策略：

a)漏洞類型、類別；

b)漏洞危害程度；

c)Web系統(tǒng)指紋信息。

.4.2策略擴展

產(chǎn)品應(yīng)能夠提供第三方插件設(shè)計，根據(jù)需要可自行編寫漏洞策略，以完善掃描策略。

11

GB/TXXXXX—XXXX

.5掃描速度

產(chǎn)品應(yīng)提供合理的掃描速度：

a)配置HTTP請求速度、掃描線程或進程數(shù)目等方式進行調(diào)節(jié)；

b)支持分布式部署掃描引擎方式；

c)支持多引擎負載均衡，提高整體的掃描速度。

.6任務(wù)定制

產(chǎn)品應(yīng)能按照計劃任務(wù)實現(xiàn)批量、定時和周期性啟動掃描，并根據(jù)設(shè)置自動生成相應(yīng)的報告。

.7穩(wěn)定性和容錯性

產(chǎn)品應(yīng)能夠穩(wěn)定的運行：

a)主界面不應(yīng)失去響應(yīng)或非正常退出；

b)掃描進度不應(yīng)停滯不前；

c)掃描任務(wù)應(yīng)可隨時停止；

d)應(yīng)支持斷點續(xù)掃；

e)在掃描未結(jié)束的情況下，可以將已經(jīng)掃描的部分展示并導(dǎo)出報告。

掃描結(jié)果分析處理

.1結(jié)果驗證

產(chǎn)品應(yīng)具備Web應(yīng)用漏洞驗證的功能，提供下列驗證能力：

a)提供參數(shù)驗證XSS漏洞、SQL注入點、目錄遍歷、信息泄漏和命令執(zhí)行等安全漏洞；

b)通過SQL注入點獲取后臺數(shù)據(jù)庫的相關(guān)信息。

c)提供輔助工具驗證漏洞。

.2結(jié)果保存

掃描結(jié)果應(yīng)非明文存儲于掉電非易失性介質(zhì)中。

.3統(tǒng)計分析

產(chǎn)品應(yīng)能對掃描獲取的原始數(shù)據(jù)進行整理，并對結(jié)果進行統(tǒng)計分析。

.4報告生成

產(chǎn)品應(yīng)能對掃描結(jié)果進行分析并形成報告，報告可分為下列類別:

a)對掃描信息的結(jié)果生成相應(yīng)報告，漏洞信息應(yīng)包括URL、漏洞名稱、漏洞描述等詳細信息；

b)產(chǎn)品應(yīng)對漏洞提出相應(yīng)的安全性建議；

c)支持導(dǎo)出行業(yè)合規(guī)報告，包括但不限于OWASPTOP10等；

d)支持編輯和自定義設(shè)計報告，添加自定義注釋或詳細信息，為技術(shù)人員修復(fù)安全缺陷提供幫

助；

e)支持批量導(dǎo)出報告；

f)支持根據(jù)橫向、縱向比較的趨勢分析報告。

.5報告輸出

產(chǎn)品的掃描報告應(yīng)能按下列要求輸出：

a)導(dǎo)出為常用文檔格式（支持Html、Doc、Pdf其中的一種或幾種）；

b)通過文字、圖表等形式將統(tǒng)計結(jié)果展現(xiàn)。

互動性要求

產(chǎn)品應(yīng)提供或采用一個標準的、開放的接口。遵照該接口規(guī)范，可為其它類型安全產(chǎn)品編寫相應(yīng)

的程序模塊，達到與產(chǎn)品進行互動的目的。

12

GB/TXXXXX—XXXX

標識與鑒別

.1用戶標識

.1.1屬性定義

產(chǎn)品應(yīng)為每個管理角色規(guī)定與之相關(guān)的安全屬性，例如管理角色標識、鑒別信息、隸屬組、權(quán)限等。

.1.2屬性初始化

產(chǎn)品應(yīng)提供使用默認值對創(chuàng)建的每個管理角色的屬性進行初始化的能力。

.1.3唯一性標識

產(chǎn)品應(yīng)為用戶提供唯一標識。同時將用戶的身份標識與該用戶的所有可審計能力相關(guān)聯(lián)。

.2身份鑒別

.2.1用戶鑒別

產(chǎn)品應(yīng)在執(zhí)行任何與管理員相關(guān)功能之前鑒別用戶的身份。

.2.2鑒別數(shù)據(jù)保護

產(chǎn)品應(yīng)保證鑒別數(shù)據(jù)不被未授權(quán)查閱或修改。

.2.3鑒別失敗處理

當對用戶鑒別失敗的次數(shù)達到指定次數(shù)后，產(chǎn)品應(yīng)能終止用戶的訪問。

.2.4超時鎖定或注銷

應(yīng)具有登錄超時鎖定或注銷功能。在設(shè)定的時間段內(nèi)沒有任何操作的情況下，終止會話，需要再

次進行身份鑒別才能夠重新操作。最大超時時間僅由授權(quán)管理員設(shè)定。

安全管理

.1安全功能管理

產(chǎn)品應(yīng)允許授權(quán)管理員進行以下管理：

a)查看安全屬性；

b)修改安全屬性；

c)啟動、關(guān)閉全部或部分安全功能；

d)制定和修改各種安全策略。

.2安全角色管理

產(chǎn)品應(yīng)能對管理員角色進行區(qū)分：

a)具有至少兩種不同權(quán)限的管理員角色，例如操作員、審計員等；

b)應(yīng)根據(jù)不同的功能模塊，自定義各種不同權(quán)限角色，并可對管理員分配角色。

.3遠程安全傳輸

若產(chǎn)品組件間通過網(wǎng)絡(luò)進行通訊，應(yīng)采取措施保障傳輸數(shù)據(jù)的安全性。

13

GB/TXXXXX—XXXX

.4可信管理主機

若控制臺提供遠程管理功能，應(yīng)能對可遠程管理的主機地址進行限制。

審計日志

.1審計日志生成

應(yīng)對與自身安全相關(guān)的以下事件生成審計日志：

a)管理員的登錄成功和失敗；

b)對安全策略進行配置的操作；

c)對安全角色進行增加、刪除和屬性修改的操作；

d)對掃描結(jié)果的備份和刪除。

產(chǎn)品應(yīng)在每一個審計日志記錄中記錄事件發(fā)生的日期、時間、用戶標識、事件描述和結(jié)果。若采用

遠程登錄方式對產(chǎn)品進行管理還應(yīng)記錄管理主機的地址。

.2審計日志保存

審計日志應(yīng)能存儲于永久性存儲介質(zhì)中。

.3審計日志管理

應(yīng)提供下列審計日志管理功能：

a)只允許授權(quán)管理員訪問審計日志；

b)提供針對操作用戶、日期時間和操作類型等條件的查詢和檢索功能；

c)授權(quán)管理員應(yīng)能存檔和導(dǎo)出審計日志。

5.3.2安全保障要求

開發(fā)

.1安全架構(gòu)

開發(fā)者應(yīng)提供產(chǎn)品安全功能的安全架構(gòu)描述，安全架構(gòu)描述應(yīng)滿足以下要求：

a)與產(chǎn)品設(shè)計文檔中對安全功能實施抽象描述的級別一致；

b)描述與安全功能要求一致的產(chǎn)品安全功能的安全域；

c)描述產(chǎn)品安全功能初始化過程為何是安全的；

d)證實產(chǎn)品安全功能能夠防止被破壞；

e)證實產(chǎn)品安全功能能夠防止安全特性被旁路。

.2功能規(guī)范

開發(fā)者應(yīng)提供完備的功能規(guī)范說明，功能規(guī)范說明應(yīng)滿足以下要求：

a)完全描述產(chǎn)品的安全功能；

b)描述所有安全功能接口的目的與使用方法；

c)標識和描述每個安全功能接口相關(guān)的所有參數(shù)；

d)描述安全功能接口相關(guān)的安全功能實施行為；

e)描述由安全功能實施行為處理而引起的直接錯誤消息；

f)證實安全功能要求到安全功能接口的追溯；

g)描述安全功能實施過程中，與安全功能接口相關(guān)的所有行為；

h)描述可能由安全功能接口的調(diào)用而引起的所有直接錯誤消息。

14

GB/TXXXXX—XXXX

.3實現(xiàn)表示

開發(fā)者應(yīng)提供全部安全功能的實現(xiàn)表示，實現(xiàn)表示應(yīng)滿足以下要求：

a)提供產(chǎn)品設(shè)計描述與實現(xiàn)表示實例之間的映射，并證明其一致性；

b)按詳細級別定義產(chǎn)品安全功能，詳細程度達到無須進一步設(shè)計就能生成安全功能的程度；

c)以開發(fā)人員使用的形式提供。

.4產(chǎn)品設(shè)計

開發(fā)者應(yīng)提供產(chǎn)品設(shè)計文檔，產(chǎn)品設(shè)計文檔應(yīng)滿足以下要求：

a)根據(jù)子系統(tǒng)描述產(chǎn)品結(jié)構(gòu)；

b)標識和描述產(chǎn)品安全功能的所有子系統(tǒng)；

c)描述安全功能所有子系統(tǒng)間的相互作用；

d)提供的映射關(guān)系能夠證實設(shè)計中描述的所有行為能夠映射到調(diào)用它的安全功能接口；

e)根據(jù)模塊描述安全功能；

f)提供安全功能子系統(tǒng)到模塊間的映射關(guān)系；

g)描述所有安全功能實現(xiàn)模塊，包括其目的及與其它模塊間的相互作用；

h)描述所有實現(xiàn)模塊的安全功能要求相關(guān)接口、其它接口的返回值、與其它模塊間的相互作用

及調(diào)用的接口；

i)描述所有安全功能的支撐或相關(guān)模塊，包括其目的及與其它模塊間的相互作用。

指導(dǎo)性文檔

.1操作用戶指南

開發(fā)者應(yīng)提供明確和合理的操作用戶指南，操作用戶指南與為評估而提供的其他所有文檔保持一

致，對每一種用戶角色的描述應(yīng)滿足以下要求：

a)描述在安全處理環(huán)境中被控制的用戶可訪問的功能和特權(quán)，包含適當?shù)木拘畔ⅲ?/p>

b)描述如何以安全的方式使用產(chǎn)品提供的可用接口；

c)描述可用功能和接口，尤其是受用戶控制的所有安全參數(shù)，適當時指明安全值；

d)明確說明與需要執(zhí)行的用戶可訪問功能有關(guān)的每一種安全相關(guān)事件，包括改變安全功能所控制

實體的安全特性；

e)標識產(chǎn)品運行的所有可能狀態(tài)（包括操作導(dǎo)致的失敗或者操作性錯誤），以及它們與維持安全

運行之間的因果關(guān)系和聯(lián)系；

f)充分實現(xiàn)安全目的所必須執(zhí)行的安全策略。

.2準備程序

開發(fā)者應(yīng)提供產(chǎn)品及其準備程序，準備程序描述應(yīng)滿足以下要求：

a)描述與開發(fā)者交付程序相一致的安全接收所交付產(chǎn)品必需的所有步驟；

b)描述安全安裝產(chǎn)品及其運行環(huán)境必需的所有步驟。

生命周期支持

.1配置管理能力

開發(fā)者的配置管理能力應(yīng)滿足以下要求：

a)為產(chǎn)品的不同版本提供唯一的標識；

b)使用配置管理系統(tǒng)對組成產(chǎn)品的所有配置項進行維護，并唯一標識配置項；

c)提供配置管理文檔，配置管理文檔描述用于唯一標識配置項的方法；

15

GB/TXXXXX—XXXX

d)配置管理系統(tǒng)提供一種自動方式來支持產(chǎn)品的生成，通過該方式確保只能對產(chǎn)品的實現(xiàn)表示

進行已授權(quán)的改變；

e)配置管理文檔包括一個配置管理計劃，配置管理計劃描述如何使用配置管理系統(tǒng)開發(fā)產(chǎn)品。

實施的配置管理與配置管理計劃相一致；

f)配置管理計劃描述用來接受修改過的或新建的作為產(chǎn)品組成部分的配置項的程序。

.2配置管理范圍

開發(fā)者應(yīng)提供產(chǎn)品配置項列表，并說明配置項的開發(fā)者。配置項列表應(yīng)包含以下內(nèi)容：

a)產(chǎn)品、安全保障要求的評估證據(jù)和產(chǎn)品的組成部分；

b)實現(xiàn)表示、安全缺陷報告及其解決狀態(tài)。

.3交付程序

開發(fā)者應(yīng)使用一定的交付程序交付產(chǎn)品，并將交付過程文檔化。在給用戶方交付產(chǎn)品的各版本時，

交付文檔應(yīng)描述為維護安全所必需的所有程序。

.4開發(fā)安全

開發(fā)者應(yīng)提供開發(fā)安全文檔。開發(fā)安全文檔應(yīng)描述在產(chǎn)品的開發(fā)環(huán)境中，為保護產(chǎn)品設(shè)計和實現(xiàn)

的保密性和完整性所必需的所有物理的、程序的、人員的和其他方面的安全措施。

.5生命周期定義

開發(fā)者應(yīng)建立一個生命周期模型對產(chǎn)品的開發(fā)和維護進行的必要控制，并提供生命周期定義文檔

描述用于開發(fā)和維護產(chǎn)品的模型。

.6工具和技術(shù)

開發(fā)者應(yīng)明確定義用于開發(fā)產(chǎn)品的工具，并提供開發(fā)工具文檔無歧義地定義實現(xiàn)中每個語句的含

義和所有依賴于實現(xiàn)的選項的含義。

測試

.1測試覆蓋

開發(fā)者應(yīng)提供測試覆蓋文檔，測試覆蓋描述應(yīng)滿足以下要求：

a)表明測試文檔中所標識的測試與功能規(guī)范中所描述的產(chǎn)品的安全功能間的對應(yīng)性；

b)表明上述對應(yīng)性是完備的，并證實功能規(guī)范中的所有安全功能接口都進行了測試。

.2測試深度

開發(fā)者應(yīng)提供測試深度的分析。測試深度分析描述應(yīng)滿足以下要求：

a)證實測試文檔中的測試與產(chǎn)品設(shè)計中的安全功能子系統(tǒng)和實現(xiàn)模塊之間的一致性；

b)證實產(chǎn)品設(shè)計中的所有安全功能子系統(tǒng)、實現(xiàn)模塊都已經(jīng)進行過測試。

.3功能測試

開發(fā)者應(yīng)測試產(chǎn)品安全功能，將結(jié)果文檔化并提供測試文檔。測試文檔應(yīng)包括以下內(nèi)容：

a)測試計劃，標識要執(zhí)行的測試，并描述執(zhí)行每個測試的方案，這些方案包括對于其它測試結(jié)果

的任何順序依賴性；

b)預(yù)期的測試結(jié)果，表明測試成功后的預(yù)期輸出；

c)實際測試結(jié)果和預(yù)期的測試結(jié)果一致。

.4獨立測試

16

GB/TXXXXX—XXXX

開發(fā)者應(yīng)提供一組與其自測安全功能時使用的同等資源，以用于安全功能的抽樣測試。

脆弱性評定

基于已標識的潛在脆弱性，產(chǎn)品能夠抵抗具有增強型基本攻擊潛力的攻擊者的攻擊。

5.4性能要求

5.4.1誤報率

在已知漏洞的Web應(yīng)用環(huán)境下，對產(chǎn)品的誤報情況進行測試。產(chǎn)品判斷錯誤的漏洞數(shù)量占所有發(fā)現(xiàn)

到的同類型漏洞總數(shù)的比例須低于20%。

5.4.2漏報率

在已知漏洞的Web應(yīng)用環(huán)境下，對產(chǎn)品的漏報情況進行測試。產(chǎn)品未發(fā)現(xiàn)的漏洞數(shù)量占掃描范圍內(nèi)

實際同類型漏洞總數(shù)的比例須低于20%。

5.4.3URL發(fā)現(xiàn)率

在已知URL的Web應(yīng)用環(huán)境下,對產(chǎn)品在掃描過程中發(fā)現(xiàn)的URL數(shù)目進行測試，URL發(fā)現(xiàn)比例應(yīng)大于

90%。

6測試評價方法

6.1測試環(huán)境

Web應(yīng)用安全檢測系統(tǒng)安全功能及性能測試環(huán)境可參見圖2所示。需按照.1、.2、

.1和.2的要求部署漏洞測試環(huán)境。

漏洞環(huán)境部署參考示例：針對網(wǎng)絡(luò)爬蟲設(shè)置了Web2.0、flash的解析障礙，提供用戶登陸模塊來測

試檢測系統(tǒng)是否支持cookie錄制，漏洞包含SQL錯誤注入、跨站腳本、CSRF、目錄遍歷、代碼注入、命

令注入、SQL盲注、Cookie注入、表單繞過、弱口令、第三方軟件、信息泄漏、Xpath注入、目錄瀏覽、

腳本木馬、敏感文件等。針對每種漏洞提供漏洞URL和參數(shù)以便統(tǒng)計誤報率和漏報率。

圖2安全功能與性能測試環(huán)境圖

6.2基本級安全要求測試

6.2.1安全功能測試

17

GB/TXXXXX—XXXX

掃描能力

.1資源發(fā)現(xiàn)

資源發(fā)現(xiàn)的測試方法與預(yù)期結(jié)果如下：

a)測試方法：

1)配置產(chǎn)品掃描Javascript腳本的頁面地址，查看掃描結(jié)果；

2)配置產(chǎn)品掃描包括頁面文件的URL地址，查看掃描結(jié)果；

3)配置產(chǎn)品掃描內(nèi)嵌URL的Flash地址，查看掃描結(jié)果。

b)預(yù)期結(jié)果：

1)產(chǎn)品能夠解析和執(zhí)行Javascript腳本，獲取相應(yīng)URL并以樹型結(jié)構(gòu)呈現(xiàn)；

2)產(chǎn)品能夠獲取頁面文件內(nèi)包括的URL并以樹型結(jié)構(gòu)呈現(xiàn)；

3)產(chǎn)品能夠獲取Flash中內(nèi)嵌的URL并以樹型結(jié)構(gòu)呈現(xiàn)。

.2漏洞檢測

漏洞檢測的測試方法與預(yù)期結(jié)果如下：

a)測試方法：

1)配置產(chǎn)品掃描策略，執(zhí)行對Web應(yīng)用漏洞平臺（部署SQL注入、cookie注入、XSS、CSRF、

目錄遍歷、信息泄露、認證方式脆弱性和文件包含等漏洞）的掃描任務(wù)；

2)查看掃描結(jié)果。

b)預(yù)期結(jié)果：

1)產(chǎn)品能夠發(fā)現(xiàn)基于Get、Post方式提交的字符、數(shù)字、搜索等的SQL注入漏洞；

2)產(chǎn)品能夠發(fā)現(xiàn)基于Cookie方式提交的字符、數(shù)字、搜索等的Cookie注入漏洞；

3)產(chǎn)品能夠發(fā)現(xiàn)基于Get、Post方式的XSS漏洞；

4)產(chǎn)品能夠發(fā)現(xiàn)基于CSRF漏洞；

5)產(chǎn)品能夠發(fā)現(xiàn)目錄遍歷漏洞；

6)產(chǎn)品能夠發(fā)現(xiàn)路徑泄漏、文件備份、源代碼泄漏、目錄瀏覽和phpinfo等信息泄露；

7)產(chǎn)品能夠發(fā)現(xiàn)常見的帳號、弱口令等認證方式脆弱漏洞；

8)產(chǎn)品能夠發(fā)現(xiàn)文件包含漏洞。

.3升級能力

升級能力的測試方法與預(yù)期結(jié)果如下：

a)測試方法：

檢查產(chǎn)品是否具備漏洞特征庫的更新能力；

b)預(yù)期結(jié)果：

產(chǎn)品支持漏洞特征庫的更新功能。

.4支持SSL應(yīng)用

支持SSL應(yīng)用的測試方法與預(yù)期結(jié)果如下：

a)測試方法：

1)配置產(chǎn)品掃描基于HTTPS協(xié)議的Web應(yīng)用系統(tǒng)；

2)查看掃描結(jié)果。

b)預(yù)期結(jié)果：

產(chǎn)品支持掃描基于HTTPS協(xié)議的Web應(yīng)用系統(tǒng)。

.5對目標系統(tǒng)的影響

對目標系統(tǒng)的影響的測試方法與預(yù)期結(jié)果如下：

a)測試方法：

18

GB/TXXXXX—XXXX

1)配置產(chǎn)品對Web應(yīng)用系統(tǒng)進行掃描；

2)檢查產(chǎn)品在掃描過程中，是否對Web應(yīng)用系統(tǒng)和正常訪問造成明顯的性能影響。

b)預(yù)期結(jié)果：

產(chǎn)品在掃描過程中未對Web應(yīng)用系統(tǒng)和正常訪問造成明顯的性能影響。

掃描配置管理

.1向?qū)Чδ?/p>

向?qū)Чδ艿臏y試方法與預(yù)期結(jié)果如下：

a)測試方法：

檢查產(chǎn)品在配置過程中是否提供了向?qū)Чδ堋?/p>

b)預(yù)期結(jié)果：

產(chǎn)品在配置過程中提供了向?qū)Чδ堋?/p>

.2掃描范圍

掃描范圍的測試方法與預(yù)期結(jié)果如下：

a)測試方法：

1)配置掃描策略，分別制定掃描的URL范圍，包括指定域名和URL，查看掃描結(jié)果；

2)配置掃描的深度，查看掃描結(jié)果；

3)配置不掃描的URL（例如登出、刪除等頁面），查看掃描結(jié)果。

b)預(yù)期結(jié)果：

1)產(chǎn)品能夠根據(jù)指定域名和URL進行掃描，且掃描結(jié)果未超出定義的范圍；

2)產(chǎn)品能夠配置掃描的深度，且掃描結(jié)果未超出定義的深度范圍；

3)產(chǎn)品能夠配置不掃描的URL，且掃描結(jié)果未包括設(shè)定的URL地址。

.3登錄掃描

登錄掃描的測試方法與預(yù)期結(jié)果如下：

a)測試方法：

配置登錄掃描的策略，查看掃描結(jié)果。

b)預(yù)期結(jié)果：

產(chǎn)品支持基于用戶的登錄信息（如基于Cookie、Session、Token、錄制的登錄信息等一種或多

種方式）對Web應(yīng)用進行掃描，并掃描結(jié)果包括登錄后的頁面。

.4策略選擇

策略選擇的測試方法與預(yù)期結(jié)果如下：

a)測試方法：

1)根據(jù)漏洞類型、類別配置產(chǎn)品的掃描策略，查看掃描結(jié)果；

2)根據(jù)漏洞危害程度配置產(chǎn)品的掃描策略，查看掃描結(jié)果。

b)預(yù)期結(jié)果：

1)產(chǎn)品能夠根據(jù)漏洞類型對Web應(yīng)用系統(tǒng)進行掃描，且掃描結(jié)果未超出定義的范圍；

2)產(chǎn)品能夠根據(jù)漏洞危害程度對Web應(yīng)用系統(tǒng)進行掃描，且掃描結(jié)果未超出定義的范圍。

.5掃描速度

掃描速度的測試方法與預(yù)期結(jié)果如下：

a)測試方法：

檢查產(chǎn)品是否能夠根據(jù)HTTP請求速度、掃描線程或進程數(shù)目等調(diào)節(jié)掃描速度。

b)預(yù)期結(jié)果：

產(chǎn)品能夠根據(jù)HTTP請求速度、掃描線程或進程數(shù)目等調(diào)節(jié)掃描速度。

19

GB/TXXXXX—XXXX

.6任務(wù)定制

任務(wù)定制的測試方法與預(yù)期結(jié)果如下：

a)測試方法：

配置產(chǎn)品的批量掃描計劃任務(wù)，查看掃描結(jié)果。

b)預(yù)期結(jié)果：

產(chǎn)品能夠根據(jù)計劃進行批量掃描，且能夠自動生成掃描結(jié)果。

.7穩(wěn)定性和容錯性

穩(wěn)定性和容錯性的測試方法與預(yù)期結(jié)果如下：

a)測試方法：

1)在掃描過程中，檢查產(chǎn)品是否出現(xiàn)失去響應(yīng)或非正常退出的現(xiàn)象；

2)在掃描過程中，檢查產(chǎn)品是否出現(xiàn)掃描進度停滯不前的現(xiàn)象；

3)在掃描過程中，檢查是否能夠隨時停止正在執(zhí)行的掃描任務(wù)；

4)在掃描過程中，檢查產(chǎn)品是否支持斷點續(xù)掃功能。

b)預(yù)期結(jié)果：

1)產(chǎn)品未出現(xiàn)失去響應(yīng)或非正常退出的現(xiàn)象；

2)產(chǎn)品未出現(xiàn)掃描進度停滯不前的現(xiàn)象；

3)產(chǎn)品在掃描過程中能夠隨時停止掃描任務(wù)；

4)產(chǎn)品能夠支持斷點續(xù)掃功能。

掃描結(jié)果分析處理

.1結(jié)果驗證

結(jié)果驗證的測試方法與預(yù)期結(jié)果如下：

a)測試方法：

根據(jù)漏洞掃描結(jié)果，檢查產(chǎn)品是否提供了參數(shù)驗證XSS漏洞、SQL注入點、目錄遍歷、信息泄

漏和命令執(zhí)行等安全漏洞。

b)預(yù)期結(jié)果：

產(chǎn)品提供了漏洞的驗證參數(shù)，能夠支持驗證XSS漏洞、SQL注入點、目錄遍歷、信息泄漏和命

令執(zhí)行等安全漏洞。

.2結(jié)果保存

結(jié)果保存的測試方法與預(yù)期結(jié)果如下：

a)測試方法：

檢查產(chǎn)品的掃描結(jié)果是否非明文存儲于掉電非易失性存儲介質(zhì)中。

b)預(yù)期結(jié)果：

產(chǎn)品的掃描結(jié)果非明文保存（如加密或存儲于數(shù)據(jù)庫）于掉電非易失性存儲介質(zhì)（如硬盤）

中。

.3統(tǒng)計分析

統(tǒng)計分析的測試方法與預(yù)期結(jié)果如下：

a)測試方法：

檢查產(chǎn)品是否能夠?qū)呙璜@取的原始數(shù)據(jù)進行整理并進行統(tǒng)計分析。

b)預(yù)期結(jié)果：

產(chǎn)品能夠?qū)呙璜@取的原始數(shù)據(jù)進行整理、統(tǒng)計和分析。

.4報告生成

報告生成的測試方法與預(yù)期結(jié)果如下：

20

GB/TXXXXX—XXXX

a)測試方法：

1)生成并查看掃描報告，掃描報告中的漏洞信息是否包括URL、漏洞名稱、漏洞描述等詳細

信息；

2)掃描報告是否包括了漏洞的安全性建議。

b)預(yù)期結(jié)果：

1)產(chǎn)品掃描報告中的漏洞信息包括了URL、漏洞名稱、漏洞描述等準確信息；

2)產(chǎn)品掃描報告中包括了漏洞的安全性建議（漏洞的修復(fù)建議）。

.5報告輸出

報告輸出的測試方法與預(yù)期結(jié)果如下：

a)測試方法：

1)查看掃描報告的導(dǎo)出格式；

2)查看掃描報告的內(nèi)容，是否包括文字、圖表等形式的統(tǒng)計結(jié)果。

b)預(yù)期結(jié)果：

3)產(chǎn)品的掃描報告支持常用文檔格式（如Doc、Excel或Pdf等）；

4)產(chǎn)品的掃描報告包括文字、圖表等形式的統(tǒng)計結(jié)果。

標識與鑒別

.1用戶標識

.1.1屬性定義

屬性定義的測試方法與預(yù)期結(jié)果如下：

a)測試方法：

檢查產(chǎn)品是否能夠創(chuàng)建用戶，并為其賦予標識、鑒別信息、隸屬組、權(quán)限等安全屬性。

b)預(yù)期結(jié)果：

產(chǎn)品能夠為創(chuàng)建的用戶配置標識、鑒別信息、隸屬組、權(quán)限等安全屬性。

.1.2屬性初始化

屬性初始化的測試方法與預(yù)期結(jié)果如下：

a)測試方法：

檢查產(chǎn)品是否能夠?qū)?chuàng)建的每個用戶的屬性進行初始化。

b)預(yù)期結(jié)果：

產(chǎn)品為創(chuàng)建的每個用戶的屬性提供初始化的能力。

.1.3唯一性標識

唯一性標識的測試方法與預(yù)期結(jié)果如下：

a)測試方法：

檢查產(chǎn)品是否不允許命名同一標識的用戶，且在日志中將關(guān)于該用戶的事件與標識相關(guān)聯(lián)。

b)預(yù)期結(jié)果：

產(chǎn)品不允許創(chuàng)建同名用戶，且將關(guān)于該用戶的事件與標識相關(guān)聯(lián)。

.2身份鑒別

.2.1用戶鑒別

21

GB/TXXXXX—XXXX

用戶鑒別的測試方法與預(yù)期結(jié)果如下：

a)測試方法：

1)通過所有管理接口嘗試登錄產(chǎn)品，是否均需進行身份鑒別；

2)檢查是否只有通過身份鑒別后，才能訪問授權(quán)的安全功能模塊；

3)當正?；蚍钦＃◤娦袛嚯姡?/p>