中国科学技术信息研究所网站应用审计软件采购项目—、投标单位资质要求1.企业、法人营业执照具有相应专业的经营范围。2.企业须提供IS09001质量体系认证证书。3.企业须通过双软认证。4.产品须具备公安部颁发的软件销售许可证。二、招标货物名称、数量及主要技术规格序弓设备、材料名称规格型号单位数量说明1WEBRAVOR应用安全审计工具软件v3.1.0套1含v\eb和数据库扫描模块2有无附带产品三、交货日期及地点：产品中标后，中标公司需在5个工作日内交付产品并负责安装调试，直至软件可以正常使用。交货地点：北京市复兴路15号。技术标准和要求产品须具备如下功能：1.能够设置在扫描过程中软件本身占用的系统资源。2.支持任何基于HTTP或者HTTPS协议的扫描,无论是B/S还是C/S结构等。3.支持基于HTTPS应用系统的检测，支持导入客户端带密码的证书及通过LBBKey进行认证的系统。4.支持基于basic、NTLMCookie、证书认证方式的妮b应用系统安全扫描。5.SQL注入(SQLInjection):必须能检测出基于PCST、GET.Cookie方式提交的至少包括’字符型、数字型、搜索型、日期型〃等在内的及其变形的SQ注入方式,并同时支持不低于50种SQL注入语句的变形及语句的编码。6.跨站点脚本攻击(CrossSiteSeripting):必须能够检测出不低于20种基于GET请求、PCST请求的跨站点攻击方法和不同变种(variants》此类攻击必须能对攻击结果进行重现，并且提供人工验证功能。7.跨站点伪造请求(CrossSiteRequestForgery):必须能够检测出是否可以冒充一个合---本文来源于网络，仅供参考，勿照抄，如有侵权请联系删除---法用户的身份在妮b应用系统上执行同样操作。8.表单绕过和弱密码测试：能够检测网页中的登录验证存在可以被绕过或者弱密码的漏洞。9.路径跨越：能够检测出网页对用户输入的信息处理不充分,可以编造请求越出服务器的根目录的漏洞。10.目录泄露：能够检测由于VfBServer的管理配置不当而存在的网页目录泄露漏洞。11・妮b服务程序检测：能够检测出宠B应用系统使用的第三方网页管理系统存在的漏洞如Ev\ebEditor、FckEditor等。12.常见危险路径检测：能够检测出网页中是否存在敏感目录。13.Access数据库文件泄露：能够检测网站中存在的Access数据库文件。14.登录页面检测：能够检测网站中存在的登录页面。15.V^bLogic检测：能够检测网站中存在的V^bLogic默认路径及默认密码测试。16.Toraat弱密码检测：能够检测网站中存在的Tomat默认路径及进行默认密码测试。17.SSIInjection:产品必须能够检测网站中存在通过调用远端HTTP请求的方式来进行解析的漏洞。18.必须支持常见CQScan,数量不低于5000种,并且可以自行增加。19.必须支持计划任务模式，可以批量输入待检测域名,定时自动对所有输入域名进行检测，定时结束正在检测的任务，避开应用服务器使用的高峰，检测完成后应当可以自动输出报告。20.应当提供基本的访问控制功能，在无人值守状态下进行全模式自动扫描,未经授权情况下，扫描不能中断。21.必须支持半自动扫描，用于ERP等用户交互性比较高的系统,用户按照正常的工作模式进行操作，工具即可自动检测出弱点。22.必须支持流程记录模式扫描，直接按照上次保存的操作流程进行扫描。23.必须能够执行自动的网页预先爬行，在爬行完成后再进行动态页面的扫描检测。并且在不影响识别率的前提下，自动过滤重复页面。24.必须能够在自动爬行网站起始页的同时，边爬行网页内部链接,边扫描动态页面。并且在不影响识别率的前提下,自动过滤重复页面。25.必须提供用户自定义测试，在提交表单等操作中,截获输入，并修改其中参数，如（增加参数、修改用户输入、修改请求的路径等），其测试的输出应当直观。---本文来源于网络，仅供参考，勿照抄，如有侵权请联系删除---26.必须支持对SQL注入的后台数据库类型识别，其中必须包括以下主流数据库（CYacIesDB2、Inforriix、Sybase、SQServer、馆SQ、PostgreSQ、Access、Ingres）,并识别应用系统后台的数据库、读出数据库名称和连接用户名,以用于证实弱点的存在。27.必须提供根据SQ注入点进一步获取目标数据库表结构、字段结构、和表数据的功能。支持通过报...