GB/T 37931—2019《信息安全技術(shù)　Web應(yīng)用安全檢測(cè)系統(tǒng)安全技術(shù)要求和測(cè)試評(píng)價(jià)方法》淺析

施明明 謝宗曉

GB/T 37931—2019《信息安全技術(shù) Web應(yīng)用安全檢測(cè)系統(tǒng)安全技術(shù)要求和測(cè)試評(píng)價(jià)方法》，于2020年3月1日開始實(shí)施，主要規(guī)定了Web應(yīng)用安全檢測(cè)系統(tǒng)的安全技術(shù)要求、測(cè)評(píng)方法和等級(jí)劃分。由于這是產(chǎn)品測(cè)評(píng)類標(biāo)準(zhǔn)，因此與GB/T 18336.3—20151）保持了一致。

1 Web應(yīng)用安全檢測(cè)系統(tǒng)的概念

Web應(yīng)用主要是指可以通過Web訪問的各類應(yīng)用程序，其最大好處在于用戶很容易訪問，只需要有瀏覽器即可，不需要再安裝其他軟件。應(yīng)用程序一般分為B/S（Browser/Server，瀏覽器/服務(wù)器）架構(gòu)和C/S（Client/Server，客戶機(jī)/服務(wù)器）架構(gòu)。毫無(wú)疑問，Web應(yīng)用一般都是采用B/S架構(gòu)。

就本質(zhì)而言，Web應(yīng)用與其他應(yīng)用程序沒有區(qū)別，只是由于基于Web，導(dǎo)致其采用了不同的框架和解釋運(yùn)行方式等。Web應(yīng)用的產(chǎn)生帶來(lái)了巨大的便利性，同時(shí)也帶來(lái)了很大的安全問題。這使得傳統(tǒng)的安全產(chǎn)品，例如，防火墻，從最初的網(wǎng)絡(luò)層（OSI第3層），發(fā)展到會(huì)話層（OSI第5層），直到應(yīng)用層（OSI第7層），工作在7層的防火墻，發(fā)展成為單獨(dú)的門類，Web應(yīng)用防火墻（WAF）。

Web應(yīng)用安全檢測(cè)系統(tǒng)原則上并不是一個(gè)單獨(dú)的產(chǎn)品，而是一系列的功能產(chǎn)品的集合。

在GB/T 37931—2019 的3.1中對(duì)于“Web應(yīng)用安全檢測(cè)系統(tǒng)”的概念給出了定義和描述，其中定義如下：

對(duì)Web應(yīng)用的安全性進(jìn)行檢測(cè)的產(chǎn)品，能夠依據(jù)策略對(duì)Web應(yīng)用進(jìn)行URL發(fā)現(xiàn)，并對(duì)Web應(yīng)用漏洞進(jìn)行檢測(cè)。

在第5章中，對(duì)于Web應(yīng)用安全檢測(cè)又進(jìn)行了進(jìn)一步的描述，如下：

Web應(yīng)用安全檢測(cè)系統(tǒng)采用URL發(fā)現(xiàn)、Web漏洞檢測(cè)等技術(shù)， 對(duì)Web應(yīng)用的安全性進(jìn)行分析，安全目的是為幫助應(yīng)用開發(fā)者和管理者了解Web應(yīng)用存在的脆弱性，為改善并提升應(yīng)用系統(tǒng)抵抗各類Web應(yīng)用攻擊（如：注入攻擊、跨站腳本、文件包含和信息泄露等）的能力， 以幫助用戶建立安全的Web應(yīng)用服務(wù)。

2 標(biāo)準(zhǔn)的架構(gòu)及主要內(nèi)容

在實(shí)際使用場(chǎng)景中，Web應(yīng)用安全檢測(cè)系統(tǒng)也多以B/S或C/S架構(gòu)運(yùn)行，在作為一款Web應(yīng)用系統(tǒng)安全檢測(cè)產(chǎn)品的同時(shí)，其自身也是一個(gè)網(wǎng)絡(luò)應(yīng)用系統(tǒng)，因此，安全技術(shù)要求除了包含安全功能要求和安全保障要求外，還涉及其自身安全要求。在GB/T 37931—2019中所關(guān)注的安全要求也包括了上述3個(gè)方面。具體如表1所示。

表1 Web應(yīng)用安全檢測(cè)系統(tǒng) 安全技術(shù)要求

GB/T 37931—2019正文分為7章，主要內(nèi)容為第6章和第7章。

標(biāo)準(zhǔn)第6章安全技術(shù)要求部分對(duì)安全功能、自身安全和安全保障3個(gè)方面提出要求。GB/T 37931—2019依據(jù)Web應(yīng)用安全檢測(cè)系統(tǒng)安全功能與自身安全的強(qiáng)弱， 以及安全保障要求的高低將安全技術(shù)要求劃分為基本級(jí)安全技術(shù)要求和增強(qiáng)級(jí)安全技術(shù)要求，其中增強(qiáng)級(jí)安全技術(shù)要求對(duì)漏洞檢測(cè)準(zhǔn)確性、可檢測(cè)的漏洞類型、漏洞檢測(cè)技術(shù)等都在基本級(jí)安全技術(shù)要求基礎(chǔ)上提出了更嚴(yán)格的要求。

值得指出的是，對(duì)于漏洞類型的檢測(cè)，標(biāo)準(zhǔn)中還列出了最低要求，包括：

a）SQL注入漏洞，含基于Get、Post方式提交的應(yīng)包括字符、數(shù)字和搜索等的注入漏洞;

b）Cookie注入漏洞，含基于Cookie方式提交的應(yīng)包括字符、數(shù)字和搜索等的注入漏洞;

c）XSS漏洞，含基于Get、Post方式的跨站攻擊漏洞;

d）CSRF漏洞;

e）目錄遍歷漏洞;

f）信息泄露漏洞，含路徑泄露、備份文件、源代碼泄露、目錄瀏覽和phpinfo等信息泄露漏洞;

g）認(rèn)證方式脆弱，如弱口令等;

h）文件包含漏洞，含遠(yuǎn)程、本地方式的文件包含漏洞。

標(biāo)準(zhǔn)第7章增加了對(duì)第6章列出的所有安全技術(shù)要求的測(cè)評(píng)方法、預(yù)期結(jié)果及結(jié)果判定，測(cè)試評(píng)價(jià)方法部分內(nèi)容的加入，使其更適合成為第三方安全產(chǎn)品測(cè)評(píng)機(jī)構(gòu)對(duì)Web應(yīng)用安全檢測(cè)系統(tǒng)類產(chǎn)品進(jìn)行安全測(cè)評(píng)的參考依據(jù)。

3 Web應(yīng)用安全檢測(cè)系統(tǒng)原理及工作流程

Web應(yīng)用安全檢測(cè)系統(tǒng)的核心工作原理是通過在網(wǎng)絡(luò)請(qǐng)求中加入漏洞檢測(cè)用例，并通過分析網(wǎng)絡(luò)響應(yīng)來(lái)判斷Web應(yīng)用系統(tǒng)是否存在安全漏洞。

Web應(yīng)用安全檢測(cè)系統(tǒng)的主要工作流程可分為Web頁(yè)面爬取、漏洞探測(cè)點(diǎn)獲取、漏洞檢測(cè)幾大塊。在檢測(cè)任務(wù)開始后，檢測(cè)系統(tǒng)通過檢測(cè)引擎使用高速智能爬取技術(shù)獲取整個(gè)Web站點(diǎn)結(jié)構(gòu)，并從html、js、flash、ajax等Web資源中抽取用于獲取探測(cè)點(diǎn)的鏈接，分析獲得的鏈接并在請(qǐng)求中尋找可能的漏洞探測(cè)點(diǎn)，最后由掃描引擎向目標(biāo)Web應(yīng)用系統(tǒng)發(fā)送漏洞檢測(cè)網(wǎng)絡(luò)請(qǐng)求并根據(jù)網(wǎng)絡(luò)響應(yīng)判斷漏洞是否存在。

4 安全功能要求增強(qiáng)級(jí)與基礎(chǔ)級(jí)比較

在GB/T 37931—2019中，將Web應(yīng)用安全檢測(cè)系統(tǒng)的安全技術(shù)要求劃分為基礎(chǔ)級(jí)技術(shù)要求和增強(qiáng)級(jí)技術(shù)要求，其中安全技術(shù)要求中的安全功能要求是決定Web應(yīng)用安全檢測(cè)系統(tǒng)檢測(cè)能力和效果的主要因素。

在6.2章節(jié)中，增強(qiáng)級(jí)技術(shù)要求對(duì)安全功能要求做了諸多額外要求，大致包括：

在6.2.1.1.1和6.2.1.1.2中：1） URL發(fā)現(xiàn)增加對(duì)Flex文件中內(nèi)嵌的URL的解析支持;2）增加對(duì)Referrer和Cookie類型XSS漏洞的檢測(cè)要求;3） 增加對(duì)登錄繞過、命令執(zhí)行、LDAP注入和Xpath注入以及第三方組件高危漏洞的檢測(cè)要求。

通過提高URL發(fā)現(xiàn)能力、可檢測(cè)漏洞類型數(shù)，Web應(yīng)用安全檢測(cè)系統(tǒng)可以支持更多的Web應(yīng)用類型，獲取到更多的漏洞探測(cè)點(diǎn)。

6.2.1.1.3要求支持變形檢測(cè)，通過變形檢測(cè)Web應(yīng)用安全檢測(cè)系統(tǒng)可繞過部分主機(jī)、網(wǎng)絡(luò)Web應(yīng)用防火墻的保護(hù)，對(duì)目標(biāo)Web應(yīng)用系統(tǒng)進(jìn)行漏洞檢測(cè)。

6.2.1.1.4要求支持暗鏈、壞鏈、外鏈以及敏感關(guān)鍵字的檢測(cè)，使Web應(yīng)用安全檢測(cè)系統(tǒng)有了部分Web入侵監(jiān)測(cè)的能力。

6.2.1.3.1要求提供自動(dòng)化工具驗(yàn)證漏洞，該項(xiàng)增強(qiáng)級(jí)要求 Web 應(yīng)用安全檢測(cè)系統(tǒng)在設(shè)計(jì)時(shí)對(duì)部分較易復(fù)現(xiàn)的漏洞增加漏洞驗(yàn)證模塊，有助于系統(tǒng)使用者對(duì)檢測(cè)結(jié)果進(jìn)行漏洞復(fù)現(xiàn)和誤報(bào)排除。

除了上述內(nèi)容，GB/T 37931—2019中的增強(qiáng)級(jí)安全功能要求還在檢測(cè)范圍、檢測(cè)任務(wù)管理、檢測(cè)結(jié)果分析處理等處，對(duì)檢測(cè)系統(tǒng)的性能、易用性、實(shí)用性與基礎(chǔ)級(jí)比較提出了更高的要求。

5 小結(jié)

GB/T 37931—2019在規(guī)范性引用文件中引用了GB/T 18336.3—2015，也就是說，后者的要求在本標(biāo)準(zhǔn)的應(yīng)用中，也需要考慮。但是，GB/T 37931—2019中關(guān)注功能性描述，并沒有沿用GB/T 18336.3—2015中保護(hù)輪廓（PP）和安全目標(biāo)（ST）等基本概念。整體而言，通過對(duì)Web應(yīng)用檢測(cè)系統(tǒng)產(chǎn)品提出安全技術(shù)要求，對(duì)該類產(chǎn)品實(shí)現(xiàn)規(guī)范化和統(tǒng)一化管理，提升Web應(yīng)用系統(tǒng)安全性，對(duì)于減少安全事件的發(fā)生是具有一定意義的。

（注：本文僅做學(xué)術(shù)探討，與作者所在單位觀點(diǎn)無(wú)關(guān)）

參考文獻(xiàn)

[1] 董貞良. 產(chǎn)品測(cè)評(píng)通用準(zhǔn)則（CC）相關(guān)標(biāo)準(zhǔn)介紹[J].中國(guó)質(zhì)量與標(biāo)準(zhǔn)導(dǎo)報(bào)，2018（11）：16-18.

[2] 謝宗曉，李寬. 通用準(zhǔn)則（CC）與信息安全管理體系（ISMS）的比較分析[J].中國(guó)質(zhì)量與標(biāo)準(zhǔn)導(dǎo)報(bào)，2018（7）：28-32.