ICS 35.240.50 CCS L 67 33 浙江省地方标准 DB33/T 2419 2021 基于安全 检测插件 的 Web 应用系统安 全检测技术规 范 Technical specification for security detection of web application system based on security detection plug-in 2021-12-24 发布 2022-01-24 实施 浙江省市 场监督 管 理局 发 布 DB33/T 2419 2021 I 目 次 前言.II 1 范围.1 2 规 范性 引用 文件.1 3 术 语和 定义.1 4 缩 略语.2 5 安 全检 测总 体要 求.2 6 安 全检 测插 件技 术要 求.4 7 安 全检 测控 制台 功能 要 求.6 8 接 口安 全要 求.7 DB33/T 2419 2021 II 前 言 本标准 按照GB/T 1.1 2020 标准 化工 作导则 第1 部分：标准化 文件 的结构 和起草 规则 的规 定起草。请注意 本标 准的 某些 内容 可能涉 及专 利。本标 准的 发布机 构不 承担 识别 专利 的责任。本标准 由浙 江省 公安 厅提出 并归 口。本标准 起草 单位：浙 江警 察学院、公 安部 第一 研究 所、浙 江省 互联 网信 息办 公室、浙江 省大 数 据 发展管理 局、浙 江省 卫生 健 康信息 中心、浙江 省教 育 技术中 心、国 家计 算机 网 络应急 技术 处理 协调 中心 浙江分中 心、杭州 医学 院、浙江省 药械 采购 中心、浙 江移动 网管 中心、杭 州孝 道科技 有限 公司、浙 江 省 方大标准 信息 有限 公司。本标准 主要 起草 人：周 国 民、陈光 宣、辛均 益、刘强、杨 卫军、吕 勇刚、王 晓冬、王 宏宇、陈 坚华、李剑锋、马 骏野、蒋熠、赵 丹、赵 利、诸 丽静、李龙、范丙华、徐 锋、刘 永瑞、朱 旭丽、陈群、魏春 梅、王宁、黄克 鑫、胡博。本标准 为首 次发 布。DB33/T 2419 2021 1 基 于安全 检测插件 的 Web 应用系统 安全检 测技术规 范 1 范围 本标准 规定了 安全 检测插 件、安 全检测 控制 台的术 语和定 义，规 定了 基于安 全检测 插件的Web 应用系统安 全检 测总 体要 求、安全检 测插 件技 术要 求、安全检 测控 制台 功能 要求、接口 安全 要求。本标准 适用 于基 于安 全检 测插件 的Web 应 用系 统安 全 检测技 术的 设计、开 发和 使用。2 规范性 引用 文件 下列文 件中 的内 容通 过文 中的规 范性 引用 而构 成 本 标准 必 不可 少的 条款。其 中，注日 期的 引用 文件，仅该日 期对 应的 版本 适用 于 本标 准；不注 日期 的引 用文件，其 最新 版本（包 括所有 的修 改单）适 用 于 本标准。GB/T 11457 2006 信息 技术 软件 工程 术语 GB/T 25069 2010 信息 安全技 术 术语 3 术语和 定义 GB/T 11457 2006 和GB/T 25069 2010 界 定的 以及 下 列术语 和定 义适 用于 本标 准。3.1 程序插 装 program instrumentation a)插 入 到计 算 机程 序中 的 探头。如指 令 或断 言，以 利于 执 行监 控、正 确性 证 明、资 源监 控或其他活动。b)准备探 头并 把它 插入 到计 算机程 序中 去的 过程。来源：GB/T 11457 2006，2.1235 3.2 追踪 trace 计算机 程序 执行 的记 录，它显示 执行 的指 令的 顺序、变量 的名 和值 或两 者。类型包 括执 行踪 迹、回顾的踪 迹、子例 程踪 迹、符号踪 迹、变量 踪迹。来源：GB/T 11457 2006，2.1751，有修 改 3.3 加密 encipherment/encryption 对数据 进行 密码 变换 以产 生密文 的过 程。一般 包含 一个变 换集 合，该变 换使 用一套 算法 和一 套 输 入参量。输入 参量 通常 被称 为密钥。来源：GB/T 25069 2010，2.2.2.60 3.4 安全检 测插 件 security detection plug-in 通过程 序插 装和 追踪 等方 法，检 测应 用程 序漏 洞，识别应 用程 序开 源组 件的 动态分 析部 件。DB33/T 2419 2021 2 3.5 安全检 测控 制台 security detection console 通过网 络通 信接 口接 收安 全检测 插件 信息、下 发控 制指令，集 中控 制与 管理 安全检 测插 件的 管 理 系统。4 缩略语 下列缩 略语 适用 于本 标准。API：应用 编程 接口（Application Programming Interface）HTTP：超文 本传 输协 议(Hypertext Transfer Protocol)JSON：JavaScript 对 象表 示法(JavaScript Object Notation)SQL：结构 查询 语言（Structure Query Language）URL：统一 资源 定位 符（Universal Resource Locator）XML：可扩 展标 记语 言（eXtensible Markup Language）5 安全检 测总 体要 求 技术架 构 5.1 基于安 全检 测插 件的Web 应 用安全 检测 系统（以 下简 称“检 测系 统”）由 嵌入 了 安全检 测插 件的Web应用系 统和 安全 检测 控制 台组成，见图1。安全 检测 插件采 用 程 序插 装和 追踪 技术，对 运行 时的Web 应用安全性 进行分 析，发现Web 应用的 漏洞、识别Web 应 用 中开源 组件漏 洞和 许可类 型。检 测系统 用于Web 应用软件 生存周 期的 测试和 运行阶 段，目 的是 为帮助 应用开 发者和 管理 者了解Web 应用 存在的 脆弱 性和 开源组件 的许可 类型，改善 并提升 应用系 统抵 抗各类Web 应用 攻击（如：注入攻 击、跨 站脚本 攻击、文 件包含和 信息 泄露 等）的 能 力，以帮 助用 户建 立安 全 合规的Web 应用 服务。Web 应用系 统使 用检 测系 统进 行安全性 检测 时，需在Web 应 用系统 中部 署安 全检 测插 件，并 对Web 应 用系 统执 行 功能测 试用 于驱 动安 全检测插件 的安 全性 分析。DB33/T 2419 2021 3 图1 技术架 构 基本要 求 5.2 5.2.1 检测对 象影 响 检测系 统应 避免 影响 目标Web 应用 的正 常工 作，例如 应避免 产生 脏数 据和 脏操 作。5.2.2 安全验 证 5.2.2.1 代码安 全审 计 检测系 统发 布前 应对 安全 检测插 件执 行代 码安 全审 计，减 少代 码中 存在 的脆 弱性问 题。5.2.2.2 安全功 能测 试 检测系 统发 布前 应对 安全 检测控 制台 的安 全功 能进 行安全 性测 试。5.2.2.3 安全性 评定 根据检 测系 统代 码安 全审 计和安 全功 能测 试的 结果 评定其 安全 性，检测 系统 自 身不存 中危 及以 上 等级的漏 洞，方可 准许 上线 运行。网络 用户 用户 请求 安 全 检 测控 制 台 安全管 理接 口 响应 Web 应用 系 统 安全检测插件 状态与漏洞信息 管理控制指令 控制层 插件层 用户层 Web 应用 系 统 安全检测插件 Web 应用 系 统 安全检测插件 DB33/T 2419 2021 4 安全检 测 5.3 5.3.1 安全检 测插 件安 装 检测对 象的所 有Web 应用 服 务应安 装安全 检测 插件，安全控 制台能 正常 识别安 全检测 插件的 在线 状态。5.3.2 执行检 测 执行检 测对 象功 能测 试用 例，用 于驱 动安 全检 测插 件的安 全性 分析，识 别检 测对象 的漏 洞和 开 源 组件风险，功 能测 试用 例应 覆盖Web应 用的 全部 功能 和 接口。6 安全检 测插 件技 术要 求 适应能 力 6.1 应能适 应具 有安 全机 制的Web应用 系统 的安 全检 测，例如在Web 应用 使用 传输 报 文加密 机制、签 名验证机制、基 于不 可重 复资 源访问 控制 机制 时仍 能检 测漏洞。工作模 式 6.2 6.2.1 应 具备 以下 工作 模式：a)失效模 式，安全 检测 功能 关闭；b)检测模 式，安全 检测 功能 开启。6.2.2 应具备 根据 以下 条件 自动 切换工 作模 式 的 能力：a)检测对 象所 在服 务器 的 CPU 使用 率、内存 使用 率；b)检测对 象Web 服 务的 响应 时间、追踪 层次 数量。漏洞检 测 6.3 安全检 测插 件应 能识 别的Web 应用 漏洞 包括 但不 限于 以下内 容：a)输入验 证错 误类 Hibernate 注入 漏洞；命 令注 入漏 洞；SQL 注 入漏 洞；JAVA 反射 注入 漏洞；XML 路 径注 入漏 洞；简 单邮 件传 输协 议注 入漏洞；表 达式 注入 漏洞；XML 外 部实 体注 入漏 洞；轻 量级 目录 访问 注入 漏洞；NoSQL 注入 漏洞；服 务器 端请 求伪 造漏 洞；跨 站脚 本攻 击漏 洞；DB33/T 2419 2021 5 HTTP 响应 分割 漏洞；日 志注 入漏 洞；目 录遍 历漏 洞；文 件包 含漏 洞；URL 跳 转漏 洞；JSON 劫持 漏洞；文 件流 拒绝 服务 漏洞；跨 站请 求伪 造漏 洞；正 则表 达式 拒绝 服务 漏洞。b)授权问 题类 弱 口令 漏洞；反 序列 化漏 洞。c)配置错 误类 不 安全 的HTTP 方法 漏 洞；不 安全 的JSP 访 问漏 洞；会话 超 时时 间配 置不 当漏洞；Web 服 务器 版本 泄露 漏洞；不 充分 的SSL 连 接漏 洞；不 安全 的认 证漏 洞；HTTP 报文 安全 头缺 失 漏洞；HTTP 报文 安全 头配 置 不当漏 洞；缺 少自 定义 错误 页面 漏洞。d)处理逻 辑错 误类 会话 重 写漏 洞；服 务器 请求 不安 全的 资源漏 洞；不 安全 登出 漏洞。e)加密问 题类 使 用弱 加密 算法 漏洞；使 用弱 随机 数漏 洞；密 码硬 编码 漏洞；Cookie 敏 感信 息泄 露 漏洞。注：以上漏洞分类依据 GB/T 30279-2020 中给定的漏洞分类方法。漏洞验 证 6.4 6.4.1 应能自 动验 证漏 洞的 可利 用性。6.4.2 应能根 据漏 洞 的URL、类 型等参 数控 制自 动验 证功 能的启 停。开源组 件分 析 6.5 6.5.1 漏洞分 析 应能识 别Web 应 用中 引入 的 开源组 件，并能 结合 漏洞 数据库 分析 组件 存在 的已 知漏洞。DB33/T 2419 2021 6 6.5.2 许可分 析 应能识 别开 源组 件所 使用 的许可 类型。6.5.3 漏洞数 据库 应包括 中国 国家 信息 安全 漏洞库、国 家信 息安 全漏 洞共享 平台、美 国国 家通 用漏洞 数据 库等 机 构 已披露的 漏洞 信息。6.5.4 漏洞库 更新 应支持 离线、在 线更 新漏 洞数据 库，在线 自动 更新 间隔时 间应 小于72小 时。环境兼 容性 6.6 6.6.1 语言兼 容 应兼容JAVA、PHP、C#、Python 等 主流Web 开发 语言。6.6.2 操作系 统兼 容 应兼容Windows、CentOS、Ubuntu、RedHat、统信UOS、中标 麒麟 等主 流操 作系 统。6.6.3 开发框 架兼 容 应兼容Spring、Spring Cloud、Spring Cloud Alibaba、ASP、ThinkPHP、Django 等主流Web开发框 架类 型。6.6.4 应用服 务器 兼容 应兼容Nginx、Apache、Tomcat、IIS、WebLogic、WebSphere、东 方通、宝 兰德 等主流Web 应用 服务器。7 安全检 测控 制台 功能 要求 安全检 测插 件管 理 7.1 7.1.1 应具备 安全 检测 插件 安装 向导的 功能。7.1.2 应具备 供安 全检 测插 件工 作模式 管理 的功 能。7.1.3 应具备 安全 检测 插件 升级 管理的 功能。7.1.4 应具备 集中 管理 安全 检测 插件的 功能，并 满足 以下 要求：a)支持管 理安 全检 测插 件的 运行状 态；b)支持管 理安 全检 测插 件的 工作模 式；c)支持在 线诊 断安 全检 测插 件的插装 状态、追踪 状态 等内容。7.1.5 应具备 安全 检测 插件 在线 日志收 集的 功能。检测策 略 7.2 7.2.1 应具备 选择 漏洞 检测 规则 的功能。7.2.2 应具备 根据 漏洞 的URL、类型等 参数 配置 漏洞 验证 规则的 功能。DB33/T 2419 2021 7 7.2.3 应具备 增加 安全 函数/方法的功能,对 已有 的漏 洞检 测规则 进行 补充。注：安全函数/方法是指Web 应 用 开 发 过 程 中 为 保 证 安 全 用 于 数 据 验 证(Validating)、净化(Sanitizing)和转义(Escaping)的函数或方法。7.2.4 应具备 增加 监控 Web 应用 的函数/方法 的 功能，对 已 有的监 控函 数/方法 进行 扩 展。7.2.5 应具备 增加 漏洞 检测 规则 的功能，对 已有 的漏 洞检 测规则 进行 扩展。7.2.6 应具备 根据 用户 请求 的 源IP 地 址、URL、HTTP 参数，以 及Web 应用 程序 包名 等信息 创建 排除 规则的功 能。注：排除规则是用于定义安全检测插件不执行漏洞检测的条件。当排除规则生效后，满足排除规则所定义的用户请求不执行漏洞检测，满足程序包名条件的Web应用模块不执行 漏洞检测。检测结 果分 析处 理 7.3 7.3.1 漏洞信 息 应提供 以下 漏洞 的相 关信 息：a)应提供 漏洞 的形 成原 因、检测依 据、漏洞 风险、修 复建议、代 码示 例等 内容；b)应 提 供漏 洞 检测 时的 请 求信 息、响 应 信息、漏 洞 代码 位 置、程 序追 踪过 程、代 码 调用 栈等环境信息。7.3.2 漏洞管 理 应提供 以下 漏洞 管理 的功 能：a)应提供 漏洞 状态 管理 的功 能；b)应提供 状态 名称 自定 义的 功能。7.3.3 统计分 析 应 提供 以下 统计 分析 的功 能：a)应提供 漏洞 修复 率、漏洞 平均修 复时 间的 统计 分析 的功能；b)应提供Web 应用 不同 版本 之 间的漏 洞状 态对 比分 析的 功能。报告管 理 7.4 应支持 生 成Word、Excel 等格式 的报 告。日志管 理 7.5 应提供 检测 系统 的运 行日 志、操 作审 计日 志、安全 检测插 件日 志，满足 以下 要求：a)应提供 系统 关键 错误 信息；b)应提供 操作 审计 日志，记 录事件 发生 的日 期、时间、用户 标识、事 件描 述和 结果；c)应提供 安全 检测 插件 关键 错误日 志。事件管 理 7.6 应支持 根据 预设 事件 条件 自动触 发处 置动 作，例如 在发现 新漏 洞时 自动 调用 外部系 统创 建工 单。8 接口安 全要 求 DB33/T 2419 2021 8 通信接 口 8.1 安全检 测插 件应 提供 通信 接口，满足 以下 要求：a)实 现 的通 过 接口 可对 调 用者 进 行身 份 认证，调 用 该接 口 的安 全 检测 控制 台 须通 过 身份 认证后才能对 安全 检测 插件 进行 管理；b)安 全 检测 控 制台 和安 全 检测 插 件之 间 传输 检测 策 略或 回 传安 全 日志 时，需 确保 通 信安 全和数据安全，防 止重 放、窃听 或篡改 攻击。通信协 议 8.2 安全检 测控 制台 与安 全检 测插件 之间 的通 信接 口应 满足如 下通 信协 议要 求：a)管理命 令请 求和 响应 消息 格式应 满 足JSON 格 式要 求；b)管理命 令请 求和 响应 消息 应分别 封装 在HTTP 协议 请 求消息 和响 应消 息中 进行 传输；c)将JSON 格 式的 管理 命令 请 求和响 应消 息封 装 到 HTTP 协议前，应 进行 加密 和编 码处理。安全连 接密 钥管 理 8.3 安全检 测控 制台 应能 接受 来自安 全检 测插 件的 安全 连接请 求，并采 用安 全连 接 密钥验 证安 全连 接 的有效性，具 体应 满足 如下 要求：a)应在安 全检 测插 件安 装前 或安装 过程 中，由安 全检 测控制 台为 受保 护的 Web 应用系 统生 成 一个安全 连接 密钥，并 通过 安全方 式传 输 到Web 应用 系统，并由 双方 安全 保存；b)安全检 测控 制台 在发 送 JSON 格 式的 安全 管理 命令 请 求消息 时，应 在 消息 中附 加上与 所管 理的Web 应 用系 统匹 配的 安全 管理密 钥，Web 应用 系统 应基于 本地 安全 保存 的安 全连接 密钥 对 安 全检测控 制台 发送的JSON 格 式管理 命令 请求 消息 进行 验证，应在 安全 连接 密钥 匹 配成功 情况 下，才真正 执行 安全 检测 控制 台下发 的安 全管 理命 令。安全管 理命 令消 息解 封和 封装 8.4 安全检 测插 件应 支持 对安 全检测 控制 台发 送的 管理 命令请 求消 息进 行安 全解 封，以 及对 将要 发 送 到安全检 测控 制台 的管 理请 求响应 消息 进行 安全 封装，具体 要求 如下：a)对于接 收到 的安 全管 理命 令请求 消息，安 全检 测插 件应采 用Base64(RFC3548)解码 获取 本地 存储的会 话加 密密 钥，采 用 双方协 商的 加密 算法 对消 息进行 解密，得到JSON 格 式的管 理命 令 请求消息；b)如解密 后JSON 格式 的管 理 命令请 求消 息中 包含 了签 名数据，安 全检 测插 件应 获取本 地存 储 的会 话 签名 密 钥，采用 双 方协 商 的签 名 算法 对签 名 进行 验 证，如 验证 失败，应直 接 丢弃 该管理命令；c)安 全 检测 插 件应 从消 息 中抽 取 安全 连 接密 钥，并 和本 地 的安 全 连接 密钥 进 行比 较，比 对成功后执行 管理 命令；d)对于安 全检 测插 件需 发送 的安全 管理 命令 响应 消息，如 Web 应用 系统 收到 安 全检测 控制 台 下发的会 话签 名密 钥，应 采 用存储 于本 地的 会话 签名 密钥对 消息 进行 签名 以 及Base64 编 码，并将编码 后的 数据 封装 在 HTTP 响 应消 息中；e)对 于 安全 检 测插 件需 要 发送 的 安全 管 理命 令响 应 消息，应采 用 存储 于本 地 的会 话 加密 密钥对消息进 行加 密，并对 加密 数据进 行 Base64 编 码后 封 装在 HTTP 响应 消息 中。