YD/T 3153-2016 WEB应用安全评估系统技术要求.pdf

web技术,信息安全,网络安全,其他规范
文档页数:10
文档大小:787.8KB
文档格式:pdf
文档分类:其他规范
上传会员:
上传日期:
最后更新:

ICS33.040 M10 YD 中华人民共和国通信行业标准 YD/T3153-2016 Web应用安全评估系统技术要求 Technical requirements of Web application security assessment system 2016-07-11发布 2016-10-01实施 中华人民共和国工业和信息化部发布 YD/T3153-2016 前言 本标准按照GB/T1.1-2009给出的规则起草. 请注意本文件的某些内容可能涉及专利.本文件的发布机构不承担识别这些专利的责任. 本标准由中国通信标准化协会提出并归口. 本标准起草单位:中国信息通信研究院、中国移动通信集团公司、北京云安志信信息安全科技有限 公司、北京安赛创想科技有限公司. 本标准主要起草人:廖璇、许子先、卜哲、张峰、叶丰华、历建、林俞坚. Ⅱ YD/T3153-2016 Web应用安全评估系统技术要求 1范围 本标准规定了Web应用安全评估系统的技术要求,具体包括部署要求、功能要求、性能要求、自身 安全要求和管理要求. 本标准适用于扫描Web层应用漏洞、代码缺陷、业务逻辑等安全问题的系统. 2术语、定义和缩略语 2.1术语和定义 下列术语和定义适用于本文件. 2.1.1 Web应用安全评估系统Web Application Security Assessment System 一种主动扫描发现Web系统应用层安全漏洞扫描系统.它依据一定的策略,对网页系统进行URL发 现并扫描,发现安全漏洞并提出相应的改进意见. 2.1.2 爬虫Spider/Crawler 一种按照一定的规则,自动的抓取万维网信息的程序或者脚本. 2.1.3 静态页面Static Webpage 存储在网站系统所在的服务器上,下载到用户客户端运行,其内容不会因访问条件的不同而发生变 化的网页文件,比如采用html、htm等技术开发的网页. 2.1.4 动态页面Dynamic Webpage 存储并运行在网站系统所在的服务器上,能根据访问条件的不同而发生变化的网页文件,比如采用 PHP、ASP、JSP等技术开发的网页. 2.1.5 SQL注入SQL Injection 一个代码注入技术,它利用一个Web应用程序的安全漏洞,在数据库层实施攻击.如果对用户输入 的非法字符串(如Web表单递交或输入域名或页面请求的查询字符串)过滤不严谨,则会把构建的恶意 SQL语句传递到数据库,欺骗服务器执行恶意的SQL命令. 2.1.6 跨站脚本Cross Site sCripting 一种Web应用程序的漏洞类型,能令攻击者往Web页面里插入恶意html代码,当用户浏览该页之时, 嵌入其中的恶意html代码会被执行,从而达到攻击者的特殊目的. 2.1.7 1 ...

资源链接请先登录(扫码可直接登录、免注册)
十二年老网站,真实资源!
高速直链,非网盘分享!浏览器直接下载、拒绝套路!
本站已在工信部及公安备案,真实可信!
手机扫码一键登录、无需填写资料及验证,支持QQ/微信/微博(建议QQ,支持手机快捷登录)
①升级会员方法:一键登录后->用户中心(右上角)->升级会员菜单
②注册登录、单独下载/升级会员、下载失败处理等任何问题,请加客服微信
不会操作?点此查看“会员注册登录方法”

投稿会员:匿名用户
我的头像

您必须才能评论!

手机扫码、免注册、直接登录

 注意:QQ登录支持手机端浏览器一键登录及扫码登录
微信仅支持手机扫码一键登录

账号密码登录(仅适用于原老用户)