許多客戶在網(wǎng)站，以及APP上線的同時(shí)，都會(huì)提前的對(duì)網(wǎng)站進(jìn)行全面的滲透測(cè)試以及安全檢測(cè)，提前檢測(cè)出存在的網(wǎng)站漏洞，以免后期網(wǎng)站發(fā)展過程中出現(xiàn)重大的經(jīng)濟(jì)損失，前段時(shí)間有客戶找到我們SINE安全公司做滲透測(cè)試服務(wù)，在此我們將把對(duì)客戶的整個(gè)滲透測(cè)試過程以及安全測(cè)試，發(fā)現(xiàn)的漏洞都記錄下來，分享給大家，也希望大家更深地去了解滲透測(cè)試。
云的簡(jiǎn)化運(yùn)維特性可以幫用戶降低這方面風(fēng)險(xiǎn)，但如果用戶在架構(gòu)上并沒有針對(duì)性的做署，安全問題仍然很突出。相比而言，大部分大企業(yè)有的 IT 部門，配備的信息安全團(tuán)隊(duì)，每年有信息安全方面的預(yù)算，有助于他們抵御網(wǎng)絡(luò)攻擊和修復(fù)漏洞。如此一來，當(dāng)同樣受到網(wǎng)絡(luò)攻擊時(shí)，中小企業(yè)受到的影響顯然更加顯著。

在對(duì)前端輸入過來的值進(jìn)行安全判斷，確認(rèn)變量值是否存在，如果存在將不會(huì)覆蓋，杜絕變量覆蓋導(dǎo)致?lián)饺霅阂鈽?gòu)造的sql注入語句代碼在GET請(qǐng)求，以及POST請(qǐng)求里，過濾非法字符的輸入。 '分號(hào)過濾 --過濾 %20字符過濾，單引號(hào)過濾，%百分號(hào)， and過濾，tab鍵值等的的安全過濾。如果對(duì)代碼不是太懂的話，也可以找網(wǎng)站安全公司來處理，國(guó)內(nèi)SINESAFE,啟明星辰，綠盟都是比較的。邏輯漏洞的修復(fù)辦法，對(duì)密碼找回功能頁(yè)面進(jìn)行安全校驗(yàn)，檢查所屬賬號(hào)的身份是否是當(dāng)前的，如果不是不能發(fā)送驗(yàn)證碼，其實(shí)就是代碼功能的邏輯設(shè)計(jì)出了問題，邏輯理順清楚了，就很容易的修復(fù)漏洞，也希望我們SINE安全分享的這次滲透測(cè)試過程能讓更多的人了解滲透測(cè)試，安全防患于未然。

應(yīng)對(duì)措施：文檔上傳的繞過方法網(wǎng)上一搜有很多（比如upload-labs的各種方法、繞防火墻的各種方法（雖然很多已經(jīng)過時(shí)），可能還有些沒有公開的方法，總結(jié)一下：1.常規(guī)的繞過方法：文檔后綴（大小寫、文檔別名等等）、文檔名（文檔名加分號(hào)、引號(hào)等等）、文檔內(nèi)容（比如圖片馬）、請(qǐng)求包結(jié)構(gòu)等等。
2.結(jié)合服務(wù)器解析漏洞：IIS、apache、nginx的特定版本都有對(duì)應(yīng)的解析漏洞。3.利用文檔包含漏洞：如果有文檔包含漏洞，可以結(jié)合文檔包含漏洞，上傳馬。4.利用組件漏洞：如果知道組件版本和名稱，可以網(wǎng)上找一下相應(yīng)漏洞。注：手動(dòng)一個(gè)一個(gè)去試各種方法，的確很麻煩，可以試試burpsuit的上傳插件upload-scanner(但本人覺得并不好用）。

近年來，各類頻繁遭受攻擊致使網(wǎng)絡(luò)癱瘓、內(nèi)容被篡改，商業(yè)機(jī)密和用戶隱私被取，使經(jīng)營(yíng)者和用戶都損失慘重。電商和服務(wù)一直是網(wǎng)絡(luò)攻擊的重災(zāi)區(qū)，京東、當(dāng)當(dāng)網(wǎng)都曾遭受過攻擊，造成直接經(jīng)濟(jì)損失。
為什么愛找你的麻煩？
試想當(dāng)你的客戶訪問你的出現(xiàn)這樣的情況，不僅浪費(fèi)優(yōu)化推廣費(fèi)用和人力成本，還有可能對(duì)你的企業(yè)口碑以及造成惡劣的影響！再被一次次打擊的情況下，我們不禁要問：為什么愛找你的麻煩？
程序本身存在漏洞
很多企業(yè)的是在網(wǎng)上下載的開源代碼，或隨便找網(wǎng)建公司開發(fā)的，程序本身就存在漏洞風(fēng)險(xiǎn)。試想一下，你花請(qǐng)幾百或幾千元做的東西，兩天就出來了。是菜場(chǎng)買白菜嗎？安全能提高到哪里去？
解決方案：發(fā)現(xiàn)問題查找問題原因，組織技術(shù)團(tuán)隊(duì)進(jìn)行排查分析。
SINE安全網(wǎng)站漏洞檢測(cè)時(shí)必須要人工去審計(jì)漏洞和查找漏洞找出問題所在并修復(fù)漏洞，對(duì)各項(xiàng)功能都進(jìn)行了全面的安全檢測(cè)。
http://www.cxftmy.com