信息安全技术 web应用安全扫描产品安全技术要求 GAT 1107-2013.pdf

GA/T1107-20133.5SQL注入SQL injection把SQL命令插入到wb表单逆交或者输入域名、页面请求的查询字符串中，以达到欺骗服务器执行恶意SQL命令的目的。3.6cookie注入cookie injection通过构造特定的cookie值实现对wb应用系统后台数据库的非法操作。3.7跨站脚本cross site scripting恶意攻击者往web页面里捕人恶意HTML,代码，当用户刘览该页面时，嵌入wb页面里面的HTL代码会被执行，从而达到恶意攻击用户的目的。3.8跨站请求伪造cross site request forgery通过伪装来自受信任用户的请求来利用受信任的网站来完成一定的操作。3.9变形检测deformation detection一种通过编码、请求包变化等方法，实现绕过防护过滤的机制。3.10误报率false positive rate判断错误的漏洞数量占所有发现到的同类型漏洞，总数的比例。例如被产品错误判断为存在SQL注入漏洞的网页占发现的全部存在SQL注入漏洞的网页的比例。3.11漏报率false negative rate未发现的漏洞数量占扫描范围内实际同类型漏洞总数的比例。例如产品未发现的SQL注人点占扫描范围内实际注入点总数的比例。4缩略语下列缩略语适用于本文件。CSRF:跨站请求伪造(Cross Site Request Forgery)HTML:超文本标记语言(Hyper Text Markup Language)HTTP:超文本传输协议(HyperText Transfer Protocol)HTTPS:安全超文本传输协议(Hypertext Transfer Protocol over Secure Socket Layer)IP:网际协议(Internet Protocol)SQL:结构化查询语言(Structured Query Language)SSL:安全套接层(Secure Sockets Layer)URL:统一资源定位符，也称网页地址(Universal Resource I,ocator)WSDL:wcb服务描述语言(Web Services Description Language)XML:可打展标i记语言(Extensible Markup Language)XSS:跨站脚本(Cross Site Scripting)