1附表1+网页安全漏洞扫描系统配置标

附表1 网页安全漏洞扫描系统配置可选 必选 ● √ 项目

总体 要求

URL 发现

漏洞 发现

漏洞 验证

功能 要求

1 网页安全漏洞扫描系统配置

要求

功能 要求

扫描 设置

报告

漏洞库 接口及 开放性 部署 方式

性能 要求

要求

性能 要求

产品界面 及易用性

网管 协议

网络 管理 网管 方式

总体 要求

自身 安全 要求

数据 安全 帐号 口令 授权 管理 日志 审计

可靠性与 扩展性

扩展性

可靠性与 扩展性

升级

其他要求

附表1 网页安全漏洞扫描系统配置标准

项目 运行环境：能运行在主流的Windows操作系统平台上(UNIX/Linux操作系统可选支持),如 Windows XP、Windows Vista、Windows Server2003、Windows7等及其各版本(包括32位和64位 版本),需要数据库时能采用主流数据库(如SQL Server、Oracle、Sybase、Informix、DB2等及 其各版本)存储相关数据。 扫描对象包括应用ASP、JSP、PHP、HTML等技术开发的静态页面、动态页面、页面目录等， 支持扫描运行在各类主流WEB服务器(包括但不限于IIS、WebLogic、WebSphere、Apache、 Tomcat等)的WEB系统。 支持对WAP网站的漏洞扫描 须能够发现网页系统中的各种URL,包括： 1、网页文件包括的URL; 2、解析Javascript等脚本获得的URL; 3、执行Javascript等脚本获得的URL; 支持对网页中的flash文件的搜索，并能发现flash文件中的URL和参数 网页安全漏洞扫描系统须能够对发现的URL以一定结构(包括但不限于树型结构)呈现。 能检测出WEB系统常见安全漏洞，包括但不限于： 1、 SQL注入 2、 Cookie注入 3、 跨站攻击 4、 CSRF 5、 目录遍历 6、 网站信息泄漏 7、 管理后台泄漏 8、 认证方式不健壮 9、 隐藏字段操控 1、须提供网页安全漏洞验证的功能，并支持手工配置验证参数 2、能调用其他浏览器或通过自带浏览器验证跨站攻击漏洞、目录遍历、管理后台泄漏等安全漏 洞 3、能够可配置地自动通过SQL注入点获取后台数据库的相关信息

1、扫描配置能够作为模板文件进行导入、导出，包括网络配置、扫描登录管理、扫描选项、扫 描策略、扫描范围等。 2、能够配置为至少两种网络连接方式：直连和使用代理服务器；并须能够对扫描中的网络超时 时间进行配置。 3、须能够配置扫描范围，至少包括当前URL、当前域、整个域、IP地址，支持对IP地址、多个 域名、多个URL或一个URL列表进行扫描，并可配置为多个域名顺序扫描或同时扫描。 4、要求扫描范围须与权限管理保持一致，并对超出权限的提供相应的警示信息。 5、扫描过程中需要登录时，可配置为不登陆扫描、录制登录过程扫描、基于此前扫描保存的登 录记录信息(如Cookie)进行扫描、扫描中每次登陆进行弹出提示等，可设置为对指定URL或包 含相关

关键字的URL不进行扫描。 6、支持深度优先、广度优先的扫描设置，能设置扫描深度、最大URL数、每个URL最大扫描次 数、开启的扫描线程数、最大的线程数等。 7、可按照漏洞类型、漏洞危害严重程度等配置扫描策略，并可对扫描策略进行任意组合。 8、可对扫描起止时间、域名列表、策略、扫描所需的网站的登录口令以及每个任务启用的线程 数等进行任务定制，支持周期性的自动执行任务，支持多任务及任务中多线程的并行扫描。 9、支持扫描暂停，并支持暂停后导出扫描结构，以及再次导入扫描结果时在此基础上继续扫描 。 1、至少提供管理视角、技术视角两种类型的报告，每种类型的报告包括的内容可以进行配置。 2、能形成分系统报告、分部门报告以及各种组合的汇总报告，并可进行横向比较。 3、能对同一网站的多次扫描报告合成汇总报告、并进行纵向比较(比较内容包括：网站风险值 、安全漏洞类型、已修补漏洞的URL、未修补漏洞的URL、新发现漏洞的URL等),并能提供符 合中国移动相关标准的基于XML的扫描结果。 4、扫描到的漏洞结果应包括：URL、漏洞名称、漏洞描述、严重性级别、漏洞类型、完整的改 进建议(如代码修订方法、外置安全设备等)。 5、可生成Excel、Word、PDF多种格式的安全报告，并支持饼图、柱状图、直方图、折线图等多 种分析呈现方式。 6、安全报告须能够根据网站系统性质、安全漏洞数量、利用难易程度等计算网站系统的风险值 。 7、支持从资产、漏洞和威胁三个维度对资产风险进行评估，计算网站系统的风险值。 支持漏洞库的多种获取方式，与国际最新标准同步，全面兼容CVE、CNCVE、BugTraq等国际 标准漏洞库，并提供国际标准漏洞库编码 提供对外接口，其他管控平台可通过该接口启动网页漏扫系统，并能通过该接口获取基于XML 格式的扫描结果。 系统须提供开放的应用接口，能够与其他应用系统进行互通；系统内组件间的通信基于标准协 议，便于系统的管理、集成和扩展。 管理平台支持集中式部署，扫描引擎支持集中式和分布式部署 支持多用户并发访问网页漏扫系统进行扫描任务制定、扫描结果查看等 URL发现比例 SQL注入发现比例 Cookie注入发现比例 XSS发现比例 CSRF发现比例 目录遍历发现比例 网站信息泄露发现比例

认证方式不健壮发现比例 隐藏字段操控漏洞发现比例 SQL注入漏报率 Cookie注入漏报率 XSS漏报率 CSRF漏报率 目录遍历漏报率 敏感信息泄露漏报率 认证 …… 此处隐藏：1972字，全部文档内容请下载后查看。喜欢就下载吧 ……