可选●必选√漏洞发现漏洞验证1 网页安全漏洞扫描系统配置要求总体要求URL发现扫描设置漏洞库部署方式要求功能要求报告接口及开放性网络管理网管协议网管方式性能要求产品界面及易用性扩展性自身安全要求总体要求数据安全帐号口令授权管理日志审计其他要求可靠性与扩展性升级运行环境:能运行在主流的Windows操作系统平台上(UNIX/Linux操作系统可选支持),如Windows XP、Windows Vista、Windows Server2003、Windows7等及其各版本(包括32位和64位版本),需要数据库时能采用主流数据库(如SQL Server、Oracle、Sybase、Informix、DB2等及其各版本)存储相关数据。扫描对象包括应用ASP、JSP、PHP、HTML等技术开发的静态页面、动态页面、页面目录等,支持扫描运行在各类主流WEB服务器(包括但不限于IIS、WebLogic、WebSphere、Apache、Tomcat等)的WEB系统。支持对WAP网站的漏洞扫描须能够发现网页系统中的各种 URL,包括:1、网页文件包括的URL;2、解析Javascript等脚本获得的URL;3、执行Javascript等脚本获得的URL;支持对网页中的flash文件的搜索,并能发现flash文件中的URL和参数网页安全漏洞扫描系统须能够对发现的URL以一定结构(包括但不限于树型结构)呈现。能检测出WEB系统常见安全漏洞,包括但不限于:1、 SQL注入2、 Cookie注入3、 跨站攻击4、 CSRF5、 目录遍历6、 网站信息泄漏7、 管理后台泄漏8、 认证方式不健壮9、 隐藏字段操控1、须提供网页安全漏洞验证的功能,并支持手工配置验证参数2、能调用其他浏览器或通过自带浏览器验证跨站攻击漏洞、目录遍历、管理后台泄漏等安全漏洞3、能够可配置地自动通过SQL注入点获取后台数据库的相关信息项目附表1 网页安全漏洞扫描系统配置标准1、扫描配置能够作为模板文件进行导入、导出,包括网络配置、扫描登录管理、扫描选项、扫描策略、扫描范围等。2、能够配置为至少两种网络连接方式:直连和使用代理服务器;并须能够对扫描中的网络超时时间进行配置。3、须能够配置扫描范围,至少包括当前URL、当前域、整个域、IP地址,支持对IP地址、多个域名、多个URL或一个URL列表进行扫描,并可配置为多个域名顺序扫描或同时扫描。4、要求扫描范围须与权限管理保持一致,并对超出权限的提供相应的警示信息。5、扫描过程中需要登录时,可配置为不登陆扫描、录制登录过程扫描、基于此前扫描保存的登录记录信息(如Cookie)进行扫描、扫描中每次登陆进行弹出提示等,可设置为对指定 URL...
