国家标准计划《信息安全技术 Web应用安全检测系统安全技术要求和测试评价方法》由 TC260（全国网络安全标准化技术委员会）归口 ，主管部门为国家标准委。

主要起草单位 杭州安恒信息技术有限公司 、公安部第三研究所 、上海天泰网络技术有限公司 。

1）概述 Internet发展到今天，Web应用系统已广泛应用于各个公共领域以及个人领域，其中蕴含了越来越多的经济价值，Web应用系统在被广泛应用的同时，因其互联、开放等特性，更容易遭受黑客的攻击。

而目前网络中常见的攻击也由传统的系统漏洞攻击逐渐发展演变为对应用自身弱点的攻击，且这种攻击趋势正在快速增长，其中最常见的攻击技术就是针对Web应用的SQL注入和钓鱼攻击，这对Web业务是否能够正常运转造成了极大的危害。

美国最权威的RSA大会研究显示,Web应用安全已超过所有以前网络层安全，逐渐成为最严重、最广泛、危害性最大的安全问题，严重影响了人们对Web应用的信心。

基于Web应用的攻击，可以给提供或接受Web应用服务者造成如下伤害： 1、泄漏客户敏感数据，例如：网银帐号，手机通话记录等； 2、篡改数据，发布虚假信息或者进行交易欺诈； 3、使Web网站成为钓鱼攻击的平台，将攻击扩大到所有访问Web应用的用户。

如：网银成为了钓鱼的场所，将直接危害网银用户的帐户安全； 4、拒绝服务，利用应用的弱点，造成拒绝服务，影响业务的正常运作 …… 根据Gattner的数据分析，80%基于Web的应用或多或少都存在安全问题，其中很大一部分是相当严重的问题。

Web应用系统的安全性越来越引起人们的高度关注，如何应对频频发生的Web应用安全事件，给系统维护部门及其安全监管部门带来新的挑战。

2）Web应用安全面临的挑战 ？ “源代码”带来的挑战：与传统的系统软件相比，Web应用系统往往以“源代码”形式交付，依靠各种应用环境进行动态解析以实现特定功能，这更像是根据不同业务需求定制开发的系统。

因此，对于Web漏洞而言，供应商往往也很难提供类似于Windows漏洞补丁的通用补丁，这给Web应用系统的维护带来了新的挑战——不能仅依靠被动的“打补丁”方式，而需要采用更主动的方式——比如使用专业Web漏洞扫描器进行评估，来发现Web应用系统中隐藏的漏洞，同时还需要评估工具给出详尽的漏洞描述来指导维护人员进行安全加固。

繁重的检查任务带来的挑战：安全检查任务往往时间紧、任务重，尤其现在的网站规模日趋庞大，单个站点动辄上千甚至上万个页面，而检查时往往需要面对的还不止一个的网站，同时，随着Web新技术的不断涌现，网站的构成也越来越复杂，因此，如何快速、稳定的完成扫描任务，成为亟待解决的问题。

3）Web应用安全检测系统 若能主动发现网站的风险隐患，并及时采取修补措施，则可以降低风险、减少损失。

针对该需求，市场上涌现处了Web应用安全检测系统，该系统能够自动获取网站包含的所有资源，通过内置的安全策略检测Web应用系统潜在的各种漏洞，能够有效的帮助应用开发者和管理者了解应用系统的安全现状，为改善并提高应用系统安全性提供依据，帮助用户建立安全、可靠的Web应用服务。

产品实现的原理：通过在 http request 中插入测试用例的方法实现应用攻击，并通过分析 http response 判断该应用是否存在相应的漏洞。

根据国家标准GB/T 25066-2010《信息安全技术 信息安全产品类别与代码》的描述，本类产品属于“安全管理与支持（G）→风险评估（ G4 ）→安全性检测分析（ G402 ）关于应用系统安全性检测分析的分类要求”。

Web应用安全检测市场处于上升阶段，如何保证Web应用系统的安全性，且更符合产品实际需求，急需标准来规范厂商对Web应用安全检测系统的研发、生产和销售等。

此外，国家发展和改革委员会办公厅在关于组织实施2013年国家信息安全专项有关事项的通知（发改办高技【2013】1965号）中明确“面向电子银行的Web漏洞扫描产品”是重点扶持的信息安全产品之一，要求该类产品“具备开放式Web应用程序安全项目（OWASP）通用漏洞的高启发、高强度、交互式检测能力，具有漏洞验证、基于电子银行系统业务流程的流量录制重放式的逻辑漏洞分析等功能，基于国内外主流漏洞特征库扫描的漏报率低于5%、误报率低于10%。

” 综上所述，“Web应用安全检测系统”标准的制定需求极为迫切。

而通过标准的制定也能够填补 GB/T25066-2010《信息安全技术 信息安全产品类别与代码》中相应类别产品的标准空白，完善信息安全标准体系。

主要技术内容：以Web应用安全检测系统所普遍使用的信息安全技术为基本内容，提出Web应用安全检测系统的安全功能要求和安全保证要求，适用于Web应用安全检测系统的设计、开发及检测。 1 、安全功能要求 本部分规定了Web应用安全检测系统的安全功能，主要功能包括：扫描能力（资源发现、漏洞检测、变形检测、升级能力、SSL支持等）、扫描配置管理（扫描策略、扫描速度、任务定制、稳定性和容错性等）、扫描结果分析处理（结果验证、结果保存、报告生成等）。 2、性能要求 本部分规定了Web应用安全检测系统的性能，主要包括漏报率、误报率。 3、自身安全功能要求 本部分规定了保障Web应用安全检测系统安全功能实现所必须的自身安全功能，包括标识与鉴别（用户标识、身份鉴别）、安全管理、审计日志（生成、保存和管理）。 4、安全保证要求 本部分规定了Web应用安全检测系统的安全保证要求，包括配置管理、交付与运行、开发、指导性文档、生命周期支持、测试、脆弱性分析保障等内容。 5、测试评价方法 本部分规定了Web应用安全检测系统安全要求和安全保证要求所实施的测试评价方法。 6、分级 依据Web应用安全检测系统的开发、生产现状及实际应用情况，提出了每个安全等级的Web应用安全检测系统的安全技术要求。