GA/T 1107-2013 信息安全技术 web应用安全扫描产品安全技术要求

GA/T 1107-2013.Information security technology-Security technical requirements for web application security scanning products. 1范围 GA/T 1107规定了web 应用安全扫描产品的安全功能要求、性能要求、自身安全功能要求、安全保证要求及等级划分要求。 GA/T 1107适用于web应用安全扫描产品的设计、开发及检测。 2规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB 17859- -1999 计算机信息系统安全保护 等级划分准则 GB/T 18336.3- 2008 信息技术安全技术信息技术安全性评估准则 第3 部分:安全保证要求 GB/T 25069- -2010 信息安全技术术语 3术语和定义 GB 17859- -1999 .GB/T 18336. 3- -2008 和GB/T 25069- -2010界定的以及下列术语和定义适用于本文件。 3.1web应用安全扫描产品 web application security scanning product 一种扫描发现web系统应用层安全漏洞的产品，能够依据策略对web应用系统进行URL发现并扫描,对发现的安全漏洞提出相应的改进意见。 3.2web应用web application 由动态脚本、编译过的代码等组合而成的应用,通常架设在web服务器上,用户在web浏览器上发送请求,这些请求使用HTTP协议,经过网络和web应用交互，由web应用和后台的数据库及其他动态内容通信。 3.3URL发现 URL detection 通过访问一个URL,发现通过该URL能够链接到的其他URL的过程,能够发现的URL包括在网页中出现的完整的URL、通过各种计算得出的URL、各种跳转的URL等。