DB33／T 2419-2021  基于安全检测插件的Web应用系统安全检测技术规范

根据检测系统代码安全审计和安全功能测试的结果评定其安全性，检测系统自身不存中危及以 的漏洞，方可准许上线运行。

DB33/T2419202

给水标准规范范本5.3.1安全检测插件安装

验测对象的所有Web应用服务应安装安全检测插件，安全控制台能正常识别安全检测插件的在线

5. 3. 2 执行检测

执行检测对象功能测试用例，用于驱动安全检测插件的安全性分析，识别检测对象的漏洞和开源组 件风险，功能测试用例应覆盖Web应用的全部功能和接口

6安全检测插件技术要求

应能适应具有安全机制的web应用系统的安全检测，例如在web应用使用传输报文加密机制 证机制、基于不可重复资源访问控制机制时仍能检测漏洞，

a）失效模式，安全检测功能关闭；

6.2.2应具备根据以下条件自动切换工作模式

a）检测对象所在服务器的CPU使用率、内存使用率； b）检测对象Web服务的响应时间、追踪层次数量，

DB33/T2419202

6.4.1应能自动验证漏洞的可利用性。 6.4.2应能根据漏洞的URL、类型等参数控制自动验证功能的启停

6. 5. 1漏洞分析

DB33/T2419202

应能识别开源组件所使用的许可类型。

应包括中国国家信息安全漏洞库、国家信息安全漏洞共享平台、美国国家通用漏洞数据库 披露的漏洞信息。

离线、在线更新漏洞数据库，在线自动更新间

空JAVA、PHP、C#、Python等主流Web开发语言。

6. 6. 2 操作系统兼容

6. 6.3开发框架兼容

应兼容Spring、Spring Cloud、SpringCloudAlibaba、ASP.NET、ThinkPHP、Django等主流Web 开发框架类型。

6.6.4应用服务器兼容

应兼容Nginx、Apache、Tomcat、IIS、WebLogic、WebSphere、东方通、宝兰德等主流Web应用服务 器。

7安全检测控制台功能要求

7.1安全检测插件管理

7.1.1应具备安全检测插件安装向导的功能。

a）支持管理安全检测插件的运行状态； b）支持管理安全检测插件的工作模式； c）支持在线诊断安全检测插件的插装状态、追踪状态等内容。 7.1.5应具备安全检测插件在线日志收集的功能。

7.2.1应具备选择漏洞检测规则的功能。 7.2.2应具备根据漏洞的URL、类型等参数配置漏洞验证规则的功能

7.2.2应具备根据漏洞的URL、类型等参数配置漏洞验证规则的

DB33/T2419202

7.2.3应具备增加安全函数/方法的功能，对已有的漏洞检测规则进行补充。 注：安全函数/方法是指Web应用开发过程中为保证安全用于数据验证（Validating）、净化（Sanitizing）和转义 (Escaping)）的函数或方法。 7.2.4应具备增加监控Web应用的函数/方法的功能，对已有的监控函数/方法进行扩展。 7.2.5应具备增加漏洞检测规则的功能，对已有的漏洞检测规则进行扩展 7.2.6应具备根据用户请求的源IP地址、URL、HTTP参数，以及Web应用程序包名等信息创建排除规 则的功能。 注：排除规则是用于定义安全检测插件不执行漏洞检测的条件。当排除规则生效后，满足排除规则所定义的用户请 求不执行漏洞检测，满足程序包名条件的Web应用模块不执行漏洞检测

7.3检测结果分析处理

应提供以下漏洞的相关信息： a 应提供漏洞的形成原因、检测依据、漏洞风险、修复建议、代码示例等内容； b）应提供漏洞检测时的请求信息、响应信息、漏洞代码位置、程序追踪过程、代码调用栈等环 境信息。

7. 3. 2漏洞管理

应提供以下漏洞管理的功能： a）应提供漏洞状态管理的功能； b）应提供状态名称自定义的功能

7.3. 3 统计分析

应提供以下统计分析的功能： a）应提供漏洞修复率、漏洞平均修复时间的统计分析的功能 b）应提供Web应用不同版本之间的漏洞状态对比分析的功能。

应支持生成Word、Excel等格式的报告。

应提供检测系统的运行日志、操作审计日志、安全检测插件日志，满足以下要求： a）应提供系统关键错误信息； b）应提供操作审计日志edi标准，记录事件发生的日期、时间、用户标识、事件描述和结果； C）应提供安全检测插件关键错误日志，

应支持根据预设事件条件自动触发处置动作，例如在发现新漏洞时自动调用外部系统创建工

DB33/T2419202

安全检测插件应提供通信接口，满足以下要求： a）实现的通过接口可对调用者进行身份认证，调用该接口的安全检测控制台须通过身份认证后 才能对安全检测插件进行管理； b） 安全检测控制台和安全检测插件之间传输检测策略或回传安全日志时，需确保通信安全和数 据安全，防止重放、窃听或纂改攻击。

安全检测控制台与安全检测插件之间的通信接口应满足如下通信协议要求： a）管理命令请求和响应消息格式应满足JSON格式要求； b 管理命令请求和响应消息应分别封装在HTTP协议请求消息和响应消息中进行传输； ）将JSON格式的管理命令请求和响应消息封装到HTTP协议前，应进行加密和编码处理

8.3安全连接密钥管理

安全检测控制台应能接受来自安全检测插件的安全连接请求，并采用安全连接密钥验证安全连接的 有效性，具体应满足如下要求： a）应在安全检测插件安装前或安装过程中，由安全检测控制台为受保护的Web应用系统生成 个安全连接密钥，并通过安全方式传输到Web应用系统，并由双方安全保存； 6 安全检测控制台在发送JSON格式的安全管理命令请求消息时，应在消息中附加上与所管理的 Web应用系统匹配的安全管理密钥，Web应用系统应基于本地安全保存的安全连接密钥对安全 检测控制台发送的JSON格式管理命令请求消息进行验证，应在安全连接密钥匹配成功情况下， 才真正执行安全检测控制台下发的安全管理命令

电缆标准规范范本8.4安全管理命令消息解封和封装

安全检测插件应支持对安全检测控制台发送的管理命令请求消息进行安全解封，以及对将要发送到 安全检测控制台的管理请求响应消息进行安全封装，具体要求如下： a）对于接收到的安全管理命令请求消息，安全检测插件应采用Base64(RFC3548)解码获取本地存 储的会话加密密钥，采用双方协商的加密算法对消息进行解密，得到JSON格式的管理命令请 求消息； b 如解密后JSON格式的管理命令请求消息中包含了签名数据，安全检测插件应获取本地存储的 会话签名密钥，采用双方协商的签名算法对签名进行验证，如验证失败，应直接丢弃该管理 命令； 安全检测插件应从消息中抽取安全连接密钥，并和本地的安全连接密钥进行比较，比对成功 后执行管理命令； d 对于安全检测插件需发送的安全管理命令响应消息，如web应用系统收到安全检测控制台下 发的会话签名密钥，应采用存储于本地的会话签名密钥对消息进行签名以及Base64编码，并 将编码后的数据封装在HTTP响应消息中； e 对于安全检测插件需要发送的安全管理命令响应消息，应采用存储于本地的会话加密密钥对 消息进行加密，并对加密数据进行Base64编码后封装在HTTP响应消息中