注入漏洞检测

检测项目

1.SQL注入检测
参数：单引号（'）、联合查询（UNION）、布尔盲注（AND1=1）、时间盲注（SLEEP()）、报错注入（extractvalue()）

2.命令注入检测
参数：管道符（|）、重定向符（>）、分号（;）、反引号（`）、系统命令（whoami）

3.XSS跨站脚本检测
参数：脚本标签（<script>）、事件处理器（onerror）、伪协议（javascript:）、DOM操作（document.cookie）、编码绕过（%3C）

4.XML外部实体注入（XXE）
参数：外部实体声明（<!ENTITY）、文件读取（file://）、远程请求（http://）、参数实体（%）、拒绝服务攻击（BillionLaughs）

5.模板引擎注入
参数：表达式注入（${7*7}）、代码执行（Runtime.exec()）、沙箱逃逸（@classloader）、上下文污染（#request）、反射调用（getMethod()）

检测范围

1.Web应用程序
涵盖HTTP请求参数、Cookie头、URL路径、表单字段及RESTfulAPI端点

2.移动应用程序
AndroidIntent组件、iOSURLScheme、跨进程通信接口及本地存储数据解析模块

3.数据库系统
MySQL存储过程、PostgreSQL大对象接口、MongoDB查询运算符及NoSQL映射逻辑

4.工业控制系统
OPCUA协议解析模块、Modbus功能码处理单元、DNP3数据对象库及SCADA人机交互界面

5.嵌入式设备固件
串口命令解析器、JTAG调试接口、固件升级校验模块及无线通信协议栈实现

检测方法

国际标准：
ISO/IEC27034-1:2011应用安全验证
OWASPTestingGuidev4.2注入类漏洞测试规程
NISTSP800-115技术安全测试指南第5.3节
CWE-89SQL注入缺陷验证规范
PCIDSSv4.0条款6.2.4输入验证控制项

国家标准：
GB/T22239-2019信息安全技术网络安全等级保护基本要求
GB/T30279-2020网络安全漏洞分类分级指南
GB/T32905-2016信息安全技术SM2密码算法使用规范
GB/T35273-2020个人信息安全规范输入控制条款
GB/T28448-2019移动互联网应用安全要求第6.2节

检测设备

1.FortifyStaticCodeAnalyzer22.2.0
静态代码分析工具，支持Java/Python/C#等12种语言的数据流追踪与污点分析

2.BurpSuiteProfessional2023.9
动态Web代理工具，具备Intruder模块的载荷迭代与Scanner模块的漏洞模式库

3.Acunetix15.8Build2308061

4.SQLMap1.7.8

5.OWASPZAP2.13.0

6.AppScanStandard10.3.0

7.NessusProfessional10.5.0

8.MetasploitFramework6.3.12

9.Wireshark4.0.8

10.CheckmarxCxSAST9.5.0

北检(北京)检测技术研究院【简称：北检院】

报告：可出具第三方检测报告(电子版/纸质版)。

检测周期：7~15工作日，可加急。

资质：旗下实验室可出具CMA/CNAS资质报告。

标准测试：严格按国标/行标/企标/国际标准检测。

非标测试：支持定制化试验方案。

售后：报告终身可查，工程师1v1服务。

以上是与"注入漏洞检测"相关的简单介绍，具体试验/检测周期、检测方法和仪器选择会根据具体的检测要求和标准而有所不同。北检研究院将根据客户需求合理的制定试验方案。