SINE安全對(duì)網(wǎng)站漏洞檢測(cè)具有的安全技術(shù)人員，而且完全不依靠軟件去掃描，所有漏洞檢測(cè)服務(wù)都是由我們?nèi)斯とz測(cè)，比如對(duì)代碼進(jìn)行審計(jì)，以及都每個(gè)網(wǎng)站或APP的功能進(jìn)行單獨(dú)的詳細(xì)測(cè)試，如跨權(quán)限漏洞，支付漏洞繞過，訂單價(jià)格被篡改，或訂單支付狀態(tài)之類的，或會(huì)員找回密碼這里被強(qiáng)制找回等，還有一些邏輯漏洞，上傳漏洞，垂直權(quán)限漏洞等等。
選擇安全穩(wěn)定的服務(wù)器
眾多企業(yè)出現(xiàn)安全問題普遍的因素，就是服務(wù)器不穩(wěn)定，DNS、快照被劫持，出現(xiàn)了亂七八糟的廣告內(nèi)容，所以建時(shí)，一定要選購比較的、安全性及穩(wěn)定性高的服務(wù)器。

假如你是hack，準(zhǔn)備攻擊一家企業(yè)，那么首先要做的件事就是識(shí)別盡可能多的API。我首先按常規(guī)方式使用目標(biāo)應(yīng)用程序，在瀏覽器中打開Web應(yīng)用程序或者在手機(jī)端安裝移動(dòng)應(yīng)用程序，然后使用代理監(jiān)視通信。代理能夠捕獲瀏覽器或移動(dòng)應(yīng)用程序?qū)蠖薟eb服務(wù)器發(fā)出的所有請(qǐng)求，從而使攻擊者可以對(duì)所有可用的API端點(diǎn)進(jìn)行分類。例如，大多數(shù)API都將API/V1/login作為身份驗(yàn)證端點(diǎn)。
如果目標(biāo)也是移動(dòng)應(yīng)用程序，則將應(yīng)用程序包拆開，并查看應(yīng)用程序內(nèi)部可用的API調(diào)用?？紤]到所有可能的活動(dòng)，攻擊者可以搜索無確保護(hù)用戶數(shù)據(jù)的常見配置錯(cuò)誤或API。后，攻擊者尋找API文檔。一些組織為第三方發(fā)布API文檔，但為所有用戶使用相同的API端點(diǎn)。有了一個(gè)不錯(cuò)的端點(diǎn)清單，攻擊者就可以測(cè)試標(biāo)準(zhǔn)用戶行為和異常行為測(cè)試，可以通過兩種方法找到有趣的漏洞。

修改后臺(tái)初始密碼
每個(gè)都有一個(gè)后臺(tái)賬戶，用于日常的維護(hù)更新，而很多后臺(tái)初始密碼都過于簡(jiǎn)單，在拿到后臺(tái)管理賬號(hào)密碼時(shí)，要先把初始密碼修改掉，帳號(hào)密碼要有一定的復(fù)雜度，不要使用域名、年份、姓名、純數(shù)字等元素，要知道密碼越好記也就意味著越容易被攻破。

開源IDS系統(tǒng)有很多種，比較有名的系統(tǒng)有Snort、Suricata、Zeek等，我們選用Suricata是因?yàn)镾uricata有多年的發(fā)展歷史，沉淀了的各種威脅檢測(cè)規(guī)則，新版的Suricata3與DPDK相結(jié)合，處理大級(jí)別的數(shù)據(jù)分析，Suricata支持Lua語言工具支持，可以通過Lua擴(kuò)展對(duì)分析的各種實(shí)用工具。
Suricata與Graylog結(jié)合的原因，是因?yàn)樵贕raylog開源社區(qū)版本對(duì)用數(shù)據(jù)的數(shù)據(jù)處理量沒有上限限制，可以擴(kuò)展很多的結(jié)點(diǎn)來擴(kuò)展數(shù)據(jù)存儲(chǔ)的空間和瞬時(shí)數(shù)據(jù)處理的并發(fā)能力。Suricata在日志輸出方面，可以將日志的輸出，輸出成標(biāo)準(zhǔn)的JSON格式，通過日志腳本收集工具，可以將日志數(shù)據(jù)推送給Graylog日志收集服務(wù)，Graylog只要對(duì)應(yīng)創(chuàng)建日志截取，就可以對(duì)JSON日志數(shù)據(jù)，進(jìn)行實(shí)時(shí)快速的收集與對(duì)日志數(shù)據(jù)結(jié)構(gòu)化和格式化。將JSON按Key和Value的形式進(jìn)行拆分，然后保存到ElasticSearch數(shù)據(jù)庫中，并提供一整套的查詢API取得Suricata日志輸出結(jié)果。
在通過API取得數(shù)據(jù)這種形式以外，Graylog自身就已經(jīng)支持了插件擴(kuò)展，數(shù)據(jù)面板，數(shù)據(jù)查詢前臺(tái)，本地化業(yè)務(wù)查詢語言，類SQL語言。通過開源IDS與開源SIEM結(jié)合，用Suricata分析威脅產(chǎn)生日志，用Graylog收集威脅事件日志并進(jìn)行管理分析，可以低成本的完成威脅事件分析檢測(cè)系統(tǒng)，本文的重點(diǎn)還在于日志收集的實(shí)踐，檢測(cè)規(guī)則的創(chuàng)建為說明手段。
Suricata經(jīng)過多年發(fā)展沉淀了很多有價(jià)值的威脅檢測(cè)規(guī)則策略，當(dāng)然誤報(bào)的情況也是存在的，但可能通過手動(dòng)干預(yù)Surcicata的規(guī)則，通過日志分析后，迭代式的規(guī)則，讓系統(tǒng)隨著時(shí)間生長(zhǎng)更完善，社區(qū)也提供了可視化的規(guī)則管理方案，通過后臺(tái)管理方式管理Suricata檢測(cè)規(guī)則，規(guī)則編輯本文只是簡(jiǎn)單介紹。Scirius就是一種以Web界面方式的Suricata規(guī)則管理工具，可視化Web操作方式進(jìn)行管理Suricata規(guī)則管理。
SINE安全網(wǎng)站漏洞檢測(cè)時(shí)必須要人工去審計(jì)漏洞和查找漏洞找出問題所在并修復(fù)漏洞，對(duì)各項(xiàng)功能都進(jìn)行了全面的安全檢測(cè)。
http://www.cxftmy.com