ICS33.040 M10 YD 中华人民共和国通信行业标准 YD/T3153-2016 Web应用安全评估系统技术要求 Technical requirements of Web application security assessment system 2016-07-11发布 2016-10-01实施 中华人民共和国工业和信息化部发布 YD/T3153-2016 前言 本标准按照GB/T1.1-2009给出的规则起草. 请注意本文件的某些内容可能涉及专利.本文件的发布机构不承担识别这些专利的责任. 本标准由中国通信标准化协会提出并归口. 本标准起草单位:中国信息通信研究院、中国移动通信集团公司、北京云安志信信息安全科技有限 公司、北京安赛创想科技有限公司. 本标准主要起草人:廖璇、许子先、卜哲、张峰、叶丰华、历建、林俞坚. Ⅱ YD/T3153-2016 Web应用安全评估系统技术要求 1范围 本标准规定了Web应用安全评估系统的技术要求,具体包括部署要求、功能要求、性能要求、自身 安全要求和管理要求. 本标准适用于扫描Web层应用漏洞、代码缺陷、业务逻辑等安全问题的系统. 2术语、定义和缩略语 2.1术语和定义 下列术语和定义适用于本文件. 2.1.1 Web应用安全评估系统Web Application Security Assessment System 一种主动扫描发现Web系统应用层安全漏洞扫描系统.它依据一定的策略,对网页系统进行URL发 现并扫描,发现安全漏洞并提出相应的改进意见. 2.1.2 爬虫Spider/Crawler 一种按照一定的规则,自动的抓取万维网信息的程序或者脚本. 2.1.3 静态页面Static Webpage 存储在网站系统所在的服务器上,下载到用户客户端运行,其内容不会因访问条件的不同而发生变 化的网页文件,比如采用html、htm等技术开发的网页. 2.1.4 动态页面Dynamic Webpage 存储并运行在网站系统所在的服务器上,能根据访问条件的不同而发生变化的网页文件,比如采用 PHP、ASP、JSP等技术开发的网页. 2.1.5 SQL注入SQL Injection 一个代码注入技术,它利用一个Web应用程序的安全漏洞,在数据库层实施攻击.如果对用户输入 的非法字符串(如Web表单递交或输入域名或页面请求的查询字符串)过滤不严谨,则会把构建的恶意 SQL语句传递到数据库,欺骗服务器执行恶意的SQL命令. 2.1.6 跨站脚本Cross Site sCripting 一种Web应用程序的漏洞类型,能令攻击者往Web页面里插入恶意html代码,当用户浏览该页之时, 嵌入其中的恶意html代码会被执行,从而达到攻击者的特殊目的. 2.1.7 1 ...
YD/T 3153-2016 WEB应用安全评估系统技术要求.pdf
