附件1JRICS35.240.40JRCCSA11中華人民共和國金融行業(yè)標(biāo)準JR/T0213—2021WebFinancialcybersecurityGeneralspecificationforsecuritytestingofWebapplicationservices2021-02-10發(fā)布 2021-02-10實施中國人民銀行 發(fā)布JR/T0213—2021JR/T0213—2021JR/T0213—2021JR/T0213—2021IIIIIIII目??次前言 II引言 III范圍 1規(guī)范性引用文件 1術(shù)語、定義和縮略語 1原則 3技術(shù)要求 4管理要求 17附錄A（資料性）安全測試報告樣例 19附錄B（資料性）漏洞報告樣例 20參考文獻 21引??言Web應(yīng)用服務(wù)是金融信息系統(tǒng)的重要組成部分，是金融機構(gòu)網(wǎng)絡(luò)安全的重要保護對象。本文件是在收集分析、評估檢查所發(fā)現(xiàn)的金融信息系統(tǒng)Web應(yīng)用服務(wù)安全問題的基礎(chǔ)上，針對性提出的安全測試通用要求，內(nèi)容涉及金融信息系統(tǒng)Web應(yīng)用服務(wù)安全測試的原則、方法和過程三個方面。本文件旨在規(guī)范和強化現(xiàn)有金融信息系統(tǒng)Web應(yīng)用服務(wù)安全測試內(nèi)容和方法。本文件既可作為各金融機構(gòu)進行Web應(yīng)用服務(wù)安全測試的參考標(biāo)準，也可以作為行業(yè)主管部門、專業(yè)測試機構(gòu)進行檢查、檢測的參考依據(jù)，用以指導(dǎo)測試人員對金融信息系統(tǒng)Web應(yīng)用服務(wù)進行安全測試。JR/T0213—2021JR/T0213—2021JR/T0213JR/T0213—2021PAGEPAGE11PAGEPAGE10金融網(wǎng)絡(luò)安全Web應(yīng)用服務(wù)安全測試通用規(guī)范范圍本文件規(guī)定了金融信息系統(tǒng)Web應(yīng)用服務(wù)安全測試的通用規(guī)范。本文件適用于指導(dǎo)金融機構(gòu)進行Web應(yīng)用服務(wù)的安全測試與評估工作。規(guī)范性引用文件GB/T20984—2007信息安全技術(shù)信息安全風(fēng)險評估規(guī)范GB/T25069—2010信息安全技術(shù)術(shù)語GB/T31509—2015信息安全技術(shù)信息安全風(fēng)險評估實施指南JR/T0072—2020金融行業(yè)網(wǎng)絡(luò)安全等級保護測評指南JR/T0168—2020網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范術(shù)語、定義和縮略語術(shù)語和定義GB/T25069—2010界定的術(shù)語和定義以及下列術(shù)語和定義適用于本文件。3.1.1金融信息系統(tǒng)financialinformationsystem金融行業(yè)相關(guān)的應(yīng)用、服務(wù)、信息技術(shù)資產(chǎn)或其他信息處理組件。[來源：GB/T29246—2017，2.39]3.1.2網(wǎng)上銀行internetbanking[來源：JR/T0168—2020，3.1]3.1.3Web應(yīng)用服務(wù)Webapplicationservice基于Web服務(wù)器軟件，為用戶提供應(yīng)用服務(wù)的網(wǎng)站、程序、應(yīng)用或接口的應(yīng)用服務(wù)部分。注：Web應(yīng)用服務(wù)包括服務(wù)端應(yīng)用程序及組件、Web服務(wù)器、中間件和API接口等。[來源：GB/T32917—2016，3.1.3，有修改]3.1.4Web應(yīng)用服務(wù)安全測試WebapplicationservicesecuritytestingWeb服務(wù)器及Web應(yīng)用服務(wù)進行安全漏洞發(fā)現(xiàn)及安全功能有效性驗證的安全性測試。3.1.5漏洞掃描vulnerabilityscanning3.1.6重要Web應(yīng)用importantWebapplication包括面向互聯(lián)網(wǎng)開放服務(wù)的WebWeb應(yīng)用，渠道類Web應(yīng)用和涉及客戶風(fēng)險管理等業(yè)務(wù)的Web應(yīng)用。3.1.7測試方tester實施安全測試的團隊或個人，由金融機構(gòu)內(nèi)部人員及外部測試服務(wù)機構(gòu)人員組成。3.1.8熱門高危漏洞popularhigh-riskvulnerability在安全測試實施時間點近兩年內(nèi)流行的，針對特定應(yīng)用及組件的高風(fēng)險漏洞。注：包括但不限于CVSS高評分的遠程漏洞、CNVD高危漏洞和社區(qū)流行的高風(fēng)險漏洞等。3.1.9侵入式測試invasivetesting基于對數(shù)據(jù)及程序代碼進行侵入性改寫的安全測試。3.1.10資產(chǎn)測繪assetmapping對網(wǎng)絡(luò)資產(chǎn)相關(guān)信息進行持續(xù)盤點并具象展示。3.1.11線性預(yù)測linearprediction基于一個線性方程對抽樣值序列的預(yù)測。3.1.12運行類測試工具run-typetestingtool需要在被測目標(biāo)中以一定權(quán)限運行的測試工具。注：包括Webshell、反向連接類工具、提權(quán)類工具、文件掃描類工具等?？s略語下列縮略語適用于本文件。API：應(yīng)用程序接口（ApplicationProgrammingInterface）ASP：動態(tài)服務(wù)器頁面（ActiveServerPages）CORS：跨域資源共享（CrossOriginResourceSharing）CNVD：國家信息安全漏洞共享平臺（ChinaNationalVulnerabilityDatabase）CRLF：注入回車換行符（CarriageReturnLineFeed）CSRF：跨站請求偽造（CrossSiteRequestForgery）CSP：內(nèi)容安全策略（ContentSecurityPolicy）CSS：層疊樣式表（CascadingStyleSheets）CVSS：通用漏洞評分系統(tǒng)（CommonVulnerabilityScoringSystem）HTML：超文本標(biāo)記語言（HyperTextMarkupLanguage）HTTP：超文本傳輸協(xié)議（HyperTextTransferProtocol）HTTPS：超文本傳輸安全協(xié)議（HyperTextTransferProtocolSecure）IMAP：交互郵件訪問協(xié)議（InteractiveMailAccessProtocol）JSON：Javascript對象表示法（JavascriptObjectNotation）JSONP：JSON跨域訪問（JSONwithPadding）LDAP：輕型目錄訪問協(xié)議（LightweightDirectoryAccessProtocol）ORM：對象關(guān)系映射（ObjectRelationalMapping）OWASP：開放式Web應(yīng)用程序安全項目（OpenWebApplicationSecurityProject）SMTP：簡單郵件傳輸協(xié)議（SimpleMailTransferProtocol）SQL：結(jié)構(gòu)化查詢語言（StructuredQueryLanguage）SSI：服務(wù)器包含（ServerSideIncludes）SSL：安全套接層（SecureSocketsLayer）SSRF：服務(wù)端請求偽造（ServerSideRequestForgery）TLS：安全傳輸層協(xié)議（TransportLayerSecurity）URL：統(tǒng)一資源定位符（UniversalResourceLocator）VPN：虛擬專用網(wǎng)絡(luò)（VirtualPrivateNetwork）XML：可擴展標(biāo)記語言（ExtensibleMarkupLanguage）XPath：XML路徑語言（XMLPathLanguage）XSS：跨站腳本（CrossSiteScripting）原則測試原則標(biāo)準性原則應(yīng)按照GB/T31509—2015和JR/T0072—2020的流程進行實施，包括實施階段和運維階段的測試工作。全面性原則在規(guī)定的測試范圍內(nèi)，應(yīng)覆蓋指定目標(biāo)中的全部Web應(yīng)用服務(wù)及每個Web應(yīng)用服務(wù)中的全部功能。分級原則測試過程應(yīng)對Web應(yīng)用服務(wù)及漏洞進行分級管理，以保證重要Web應(yīng)用服務(wù)的資源投入。可控性原則測試過程應(yīng)按照GB/T31509—2015最小影響原則針對處于運維階段的Web應(yīng)用服務(wù)，應(yīng)提前確定合適的測試時間窗口，避開業(yè)務(wù)高峰期，同時做好被測試目標(biāo)應(yīng)用服務(wù)的應(yīng)急預(yù)案。保密性原則及時性原則測試形式Web應(yīng)用服務(wù)安全測試應(yīng)按照GB/T20984—2007，以自評估測試為主，自評估測試和檢查測試相互結(jié)合，互為補充。安全測試實施的組織形式包括但不限于個人測試、團隊測試、眾測等。技術(shù)要求測試環(huán)境及準備測試環(huán)境及準備基本要求：U如測試過程中發(fā)現(xiàn)功能損壞及數(shù)據(jù)缺失，測試方應(yīng)對缺失的數(shù)據(jù)及損壞的功能進行詳細記錄，并及時反饋給系統(tǒng)開發(fā)人員進行功能及數(shù)據(jù)補足。VPNIP白名單等方式，防止非授權(quán)人員對仿真環(huán)境進行違規(guī)訪問或違規(guī)測試。禁止測試方向任何未經(jīng)授權(quán)的第三方泄露與測試環(huán)境相關(guān)的任何信息。測試工具及準備測試工具及準備基本要求：測試方應(yīng)使用不存在法律風(fēng)險或合規(guī)風(fēng)險的工具進行測試。SQL測試技術(shù)通用測試要求通用測試基本要求：CNVD金融機構(gòu)應(yīng)進行互聯(lián)網(wǎng)暴露資產(chǎn)和內(nèi)網(wǎng)資產(chǎn)測繪，明確安全測試對象清單并進行定期更新。測試方應(yīng)優(yōu)先保證熱門高危漏洞的測試進度及測試效果。通用測試增強要求：測試方應(yīng)針對開源的高危系統(tǒng)及高危組件設(shè)置單獨的測試清單并定期進行更新。全量內(nèi)容的安全測試應(yīng)覆蓋熱門高危漏洞所對應(yīng)測試方法以及本章測試技術(shù)中包含的所有基本要求。業(yè)務(wù)邏輯測試多線程競爭條件測試多線程競爭條件測試基本要求：應(yīng)至少覆蓋轉(zhuǎn)賬及積分兌換等場景。多線程競爭條件測試增強要求：2種以上工具并分別測試3次以上以確保測試充分。資金查詢越權(quán)測試資金查詢越權(quán)測試基本要求：應(yīng)通過測試確認指定賬戶查詢的回顯內(nèi)容中不包含當(dāng)前用戶權(quán)限所無法查看的內(nèi)容。測試應(yīng)覆蓋到每一個可能對當(dāng)前用戶權(quán)限產(chǎn)生影響的參數(shù)。資金交易越權(quán)測試資金交易越權(quán)測試基本要求：支付漏洞測試支付漏洞測試基本要求：支付漏洞是否存在不應(yīng)通過是否能夠結(jié)算成功判斷，應(yīng)通過是否能夠成功生成訂單判斷。00應(yīng)通過測試確認支付功能不存在整數(shù)溢出問題。應(yīng)通過測試確認支付功能不存在負值反充問題，如通過支付負數(shù)成功導(dǎo)致賬戶余額增加。請求重放測試請求重放測試基本要求：用戶信息完整性測試用戶信息完整性測試基本要求：業(yè)務(wù)邏輯數(shù)據(jù)驗證測試業(yè)務(wù)邏輯數(shù)據(jù)驗證測試基本要求：0隱藏域測試隱藏域測試基本要求：測試方應(yīng)充分發(fā)現(xiàn)并記錄隱藏域中的參數(shù)，并嘗試對這些參數(shù)進行直接賦值以模擬非預(yù)期的請求。adminadmin=1隱藏域測試增強要求：adminadmin=1完整性檢查和中間人測試完整性檢查和中間人測試基本要求：應(yīng)通過測試確認客戶端和服務(wù)器在傳輸交易數(shù)據(jù)時，服務(wù)端采用了有效的完整性檢查和防篡改措施。完整性檢查和中間人測試增強要求：應(yīng)通過測試確認客戶端和服務(wù)器之間進行雙向認證的有效性，確保無法通過已知手段進行中間人攻擊。短信和電子郵箱驗證測試短信和電子郵箱驗證測試基本要求：應(yīng)通過測試確認短信和電子郵箱驗證邏輯不會被整體繞過。應(yīng)通過測試確認短信和電子郵箱驗證功能不存在短信和電子郵箱驗證碼前端生成問題。應(yīng)通過測試確認短信和電子郵箱驗證功能不存在短信和電子郵箱驗證碼前端驗證問題。對于生產(chǎn)環(huán)境，應(yīng)通過測試確認短信和電子郵箱驗證功能不存在特權(quán)驗證碼。應(yīng)通過測試確認短信和電子郵箱驗證功能存在有效的抗暴力破解措施。610圖形驗證碼測試圖形驗證碼測試基本要求：應(yīng)通過測試確認圖形驗證碼不會被整體繞過。OCR驗證碼識別工具、腳本等。1滑塊驗證碼測試滑塊驗證碼測試基本要求：應(yīng)通過測試確認滑塊驗證碼不會被整體繞過。應(yīng)通過測試確認滑塊驗證碼能夠有效防止機器模擬驗證。1處理用時測試處理用時測試基本要求：工作流程繞過測試工作流程繞過測試基本要求：應(yīng)至少在找回密碼和重置密碼場景處進行業(yè)務(wù)流程繞過測試。應(yīng)通過測試確認當(dāng)前所在的業(yè)務(wù)流程階段不能夠通過用戶傳入的參數(shù)直接指定。對于每一個業(yè)務(wù)流程階段，應(yīng)通過測試確保安全策略與安全原則具備整體一致性。應(yīng)用程序誤用測試應(yīng)用程序誤用測試基本要求：IP應(yīng)用程序誤用測試增強要求：應(yīng)通過測試確認系統(tǒng)存在可以自學(xué)習(xí)的抗攻擊嘗試機制。文件上傳測試文件上傳測試基本要求：應(yīng)通過測試確認系統(tǒng)不存在可以直接部署網(wǎng)頁腳本的文件上傳功能。Web應(yīng)通過測試確認上傳文檔前應(yīng)經(jīng)過有效的身份驗證。應(yīng)通過測試確認文件上傳的校驗在服務(wù)端進行。應(yīng)通過測試確認文件上傳功能存在有效的后綴白名單限制，且無法被突破。應(yīng)通過測試確認文件上傳的位置無法通過參數(shù)進行指定或操控。應(yīng)通過測試確認文件上傳功能不存在競爭上傳問題。文件上傳測試增強要求：身份鑒別測試角色定義測試角色定義測試基本要求：測試方應(yīng)充分了解目標(biāo)應(yīng)用中的全部角色并建立權(quán)限矩陣。用戶注冊過程測試用戶注冊過程測試基本要求：1應(yīng)通過測試確認不存在可以直接控制注冊用戶權(quán)限的參數(shù)。應(yīng)通過測試確認注冊過程包含有效的人機識別，無法通過自動化批量完成。賬戶權(quán)限變化測試賬戶權(quán)限變化測試基本要求：應(yīng)通過測試確認任何角色都不能為自身或其他角色賦予超越自身的權(quán)限。應(yīng)通過測試確認任何角色都不能撤銷或轉(zhuǎn)移對等權(quán)限以及更高權(quán)限。賬戶枚舉和弱用戶名測試賬戶枚舉和弱用戶名測試基本要求：應(yīng)通過測試確認登錄時無法進行賬戶枚舉。進行賬戶枚舉和弱用戶名測試時應(yīng)盡可能嘗試常見用戶名與默認用戶名?？诹钚畔⒓用軅鬏敎y試口令信息加密傳輸測試基本要求：JR/T0168—2020HTTPSHTTPSHTTPHTTPSHTTP默認口令與弱口令測試默認口令與弱口令測試基本要求：測試方應(yīng)建立并維護金融機構(gòu)常用弱口令字典，并保證字典具備較高的命中率。應(yīng)通過測試確認不能夠使用空口令登錄目標(biāo)系統(tǒng)。應(yīng)通過測試確認不存在能夠使用弱口令登錄的高權(quán)限賬戶。默認口令與弱口令測試增強要求：測試方應(yīng)針對目標(biāo)系統(tǒng)及所屬金融機構(gòu)，通過組合關(guān)聯(lián)信息定制弱口令字典的方式提升命中率。賬戶鎖定機制測試賬戶鎖定機制測試基本要求：在生產(chǎn)環(huán)境中測試時，測試方應(yīng)只針對授權(quán)使用的測試賬號進行賬戶鎖定機制測試。如未設(shè)置賬戶鎖定機制，應(yīng)通過測試確認圖片驗證碼以及其他抗暴力破解措施的有效性。應(yīng)通過測試確認賬戶鎖定機制無法被整體繞過。應(yīng)結(jié)合業(yè)務(wù)需要，確認每次口令鎖定時間不低于該業(yè)務(wù)要求的基準值。認證繞過測試認證繞過測試基本要求：應(yīng)通過測試確認內(nèi)部功能均進行了有效的認證保護，無法通過直接請求非授權(quán)訪問內(nèi)部功能。login=on應(yīng)通過測試確認會話標(biāo)識或用來標(biāo)示身份的其他參數(shù)不能進行線性預(yù)測。應(yīng)通過測試確認無法通過修改響應(yīng)包的方式簡化前端頁面分析并獲取更多應(yīng)用入口信息。記住密碼功能測試認證繞過測試基本要求：應(yīng)通過測試確認瀏覽器本地（包括但不限于Cookie、LocalStorage、SessionStorage）中沒有存儲明文密碼或哈希。密碼策略測試密碼策略測試基本要求：應(yīng)通過測試確認目標(biāo)系統(tǒng)無法通過連續(xù)多次更改密碼的方式繞過歷史密碼策略。密碼修改及重置測試密碼修改及重置測試基本要求：應(yīng)通過測試確認密碼修改功能驗證了原密碼，并確保驗證的有效性。03212授權(quán)測試目錄遍歷、文件包含測試目錄遍歷、文件包含測試基本要求：WebPHP（偽協(xié)議）php://inputphp://filter等。應(yīng)通過測試確認傳入?yún)?shù)不支持通過“../”以及對應(yīng)的各類編碼或變體進行父目錄穿越。目錄瀏覽測試目錄瀏覽測試基本要求：WebWeb可預(yù)測資源定位測試可預(yù)測資源定位測試基本要求：32Web授權(quán)繞過測試授權(quán)繞過測試基本要求：JavaScript權(quán)限提升測試權(quán)限提升基本要求：不安全的直接對象引用測試不安全的直接對象引用測試基本要求：ID=150為當(dāng)前用戶的內(nèi)容，ID=151進行不安全的直接對象引用測試時，應(yīng)嚴格禁止批量跑取數(shù)據(jù)的行為。如需要進行危害驗證，5會話管理測試會話管理繞過測試會話管理繞過測試基本要求：Cookie應(yīng)通過測試確認會話標(biāo)識符從一個可信系統(tǒng)，如服務(wù)器上創(chuàng)建，而不是在客戶端創(chuàng)建。Cookie會話管理繞過測試增強要求：在驗證會話憑證的不可預(yù)測性時，宜采用通過工具生成大量會話憑證樣本并進行碰撞的方式進行。CookieCookie屬性測試基本要求：CookieSecure、HttpOnlySameSiteHttpOnlyHttpOnlyCORSXSS會話固定測試會話固定測試基本要求：應(yīng)通過測試確認用戶登錄成功后目標(biāo)系統(tǒng)會自動更新會話標(biāo)識。URL會話令牌泄露測試會話令牌泄露測試基本要求：應(yīng)通過測試確認所有涉及身份認證的關(guān)鍵參數(shù)均不能通過GET方式傳輸。如用戶名密碼對，會話標(biāo)識以及其他能夠獨立通過身份校驗的各類憑據(jù)。CSRFCSRF測試基本要求：CSRFRefererCSRFTokenToken如使用雙重校驗，則應(yīng)通過測試確認校驗碼不可預(yù)測及不可繞過。如使用圖形驗證碼，則應(yīng)通過測試確認圖形驗證碼不可預(yù)測及不可繞過。JSONJSONP登出功能與會話超時測試登出功能與會話超時測試基本要求：應(yīng)通過測試確認用戶界面中存在登出功能，并確認登出功能的有效性。10會話變量重載測試會話變量重載測試增強要求：輸入驗證測試XSSXSS測試基本要求：嚴禁進行跨站腳本蠕蟲測試。嚴禁使用第三方運維的跨站腳本反向代理平臺進行測試。如需使用測試方自有平臺進行測試，需按照金融機構(gòu)制定的測試工具管理流程進行報備。應(yīng)通過測試確認輸入過濾及輸出編碼措施的有效性。使用的測試手段包括但不限于以下方式：HTML、XML、JavaScript、CSSXSS盲打。應(yīng)通過測試確認目標(biāo)系統(tǒng)不存在可以指定偽協(xié)議、JavaScript、Data-urBlobXSS測試增強要求：CSPCSPInternetExplorerChromeFirefoxSafariSSRFSSRF測試基本要求：SSRFIPURLURLHTTP(Sfile://gopher://ftp://dict://等其他網(wǎng)絡(luò)協(xié)議。HTTPHTTP謂詞篡改測試基本要求：Webdav。在開啟了Webdav的前提下，應(yīng)通過測試確認目標(biāo)系統(tǒng)無法通過Webdav缺陷配置上傳Webshell。HTTP謂詞篡改測試增強要求：應(yīng)通過測試確認非標(biāo)準的HTTP方法不會產(chǎn)生非預(yù)期的行為。HTTPHTTP參數(shù)污染測試基本要求：應(yīng)通過測試確認在引入多個同名參數(shù)時，安全限制與參數(shù)執(zhí)行始終保持一致。SQLSQL注入測試基本要求：SQLOutfileNoSQLORMSQLSQL注入測試增強要求：SQLSQLHTTP（HTTPrequestsmuggling）問題。XMLXML注入測試基本要求：測試方應(yīng)通過嘗試插入XMLXMLXMLXMLXML其他注入測試其他注入測試基本要求：LDAPLDAP應(yīng)通過測試確認目標(biāo)系統(tǒng)不存在系統(tǒng)命令注入問題。SSISSI在目標(biāo)系統(tǒng)使用了XPathXPathSQLXPathWebWebIMAP/SMTPHTTPHeaderX-Forwarded-ForCRLFHTTP應(yīng)通過模糊測試與域名解析記錄相結(jié)合的方式，確認目標(biāo)系統(tǒng)不存在命令注入問題。應(yīng)通過灰盒或白盒測試的方式，確認目標(biāo)系統(tǒng)不存在各類注入問題。孵化漏洞測試孵化漏洞測試增強要求：HTTP/偽造測試HTTP分割/偽造測試增強要求：在使用了安全限制的場景下，應(yīng)通過測試確認安全限制不會通過HTTP分割/偽造的方式繞過。錯誤處理測試錯誤處理測試基本要求：密碼學(xué)測試傳輸層防護及敏感數(shù)據(jù)測試傳輸層防護及敏感數(shù)據(jù)測試基本要求：SSL/TLSSSL/TLSHTTPS當(dāng)目標(biāo)系統(tǒng)及客戶端之間使用雙向校驗時，應(yīng)通過測試確認無法實施有效的中間人攻擊。填充提示測試填充提示測試（PaddingOracle）基本要求：測試方至少應(yīng)在ASP.NET架構(gòu)的應(yīng)用上進行填充提示測試?？蛻舳藴y試URL客戶端URL重定向測試基本要求：跨域資源共享測試跨域資源共享測試基本要求：CORSCORSFlashFlash跨站測試增強要求：應(yīng)通過對Flash文件進行反編譯，測試是否存在能夠?qū)е耎SS的未初始化全局變量以及不安全方法。測試監(jiān)控測試監(jiān)控基本要求：測試方應(yīng)建立安全測試實施基線及審查機制，保證安全測試開展的有效性。應(yīng)通過技術(shù)或管理手段保證歷史測試過程記錄完整，做到可復(fù)現(xiàn)、可追溯。測試監(jiān)控增強要求：測試加固測試加固基本要求：金融機構(gòu)應(yīng)根據(jù)應(yīng)用重要程度，漏洞危害以及影響范圍在機構(gòu)內(nèi)部建立統(tǒng)一的漏洞評級標(biāo)準，并定期維護更新。漏洞加固應(yīng)盡可能滿足有效性及完備性要求，金融機構(gòu)應(yīng)采用現(xiàn)行最佳的方式進行漏洞加固。72測試加固增