雖然現(xiàn)在的網(wǎng)站安全防護(hù)技術(shù)已經(jīng)得到了很大的提升，但是相應(yīng)地，一些網(wǎng)站入侵技術(shù)也會(huì)不斷地升級(jí)、進(jìn)化。如何建設(shè)網(wǎng)站，因此，企業(yè)在進(jìn)行網(wǎng)站建設(shè)管理的時(shí)候，一定不可以輕視網(wǎng)站安全這一塊，建議企業(yè)周期性、長(zhǎng)期性地用一些基本方法來(lái)檢測(cè)企業(yè)網(wǎng)站的安全性，確保網(wǎng)站順利、正常地運(yùn)營(yíng)下去。
假如你是hack，準(zhǔn)備攻擊一家企業(yè)，那么首先要做的件事就是識(shí)別盡可能多的API。我首先按常規(guī)方式使用目標(biāo)應(yīng)用程序，在瀏覽器中打開(kāi)Web應(yīng)用程序或者在手機(jī)端安裝移動(dòng)應(yīng)用程序，然后使用代理監(jiān)視通信。代理能夠捕獲瀏覽器或移動(dòng)應(yīng)用程序?qū)蠖薟eb服務(wù)器發(fā)出的所有請(qǐng)求，從而使攻擊者可以對(duì)所有可用的API端點(diǎn)進(jìn)行分類。例如，大多數(shù)API都將API/V1/login作為身份驗(yàn)證端點(diǎn)。
如果目標(biāo)也是移動(dòng)應(yīng)用程序，則將應(yīng)用程序包拆開(kāi)，并查看應(yīng)用程序內(nèi)部可用的API調(diào)用。考慮到所有可能的活動(dòng)，攻擊者可以搜索無(wú)確保護(hù)用戶數(shù)據(jù)的常見(jiàn)配置錯(cuò)誤或API。后，攻擊者尋找API文檔。一些組織為第三方發(fā)布API文檔，但為所有用戶使用相同的API端點(diǎn)。有了一個(gè)不錯(cuò)的端點(diǎn)清單，攻擊者就可以測(cè)試標(biāo)準(zhǔn)用戶行為和異常行為測(cè)試，可以通過(guò)兩種方法找到有趣的漏洞。

其實(shí)從開(kāi)發(fā)的角度，如果要保證代碼至少在邏輯方面沒(méi)有明顯的漏洞，還是有些繁瑣的。舉個(gè)簡(jiǎn)單的例子，如網(wǎng)站的數(shù)據(jù)檢驗(yàn)功能，不允許前端提交不符合當(dāng)前要求規(guī)范的數(shù)據(jù)（比如年齡文本框部分不能提交字母）。那么為了實(shí)現(xiàn)這個(gè)功能，首先開(kāi)發(fā)者肯定要在前端實(shí)現(xiàn)該功能，直接在前端阻止用戶提交不符規(guī)范的數(shù)據(jù)，否則用戶體驗(yàn)會(huì)很差，且占用服務(wù)器端的資源。
但是沒(méi)有安全意識(shí)或覺(jué)得麻煩的開(kāi)發(fā)者就會(huì)僅僅在前端用Js進(jìn)行校驗(yàn)，后端沒(méi)有重復(fù)進(jìn)行校驗(yàn)。這樣就很容易給惡意用戶機(jī)會(huì)：比如不通過(guò)前端頁(yè)面，直接向后端接口發(fā)送數(shù)據(jù)：或者，前端代碼編寫(xiě)不規(guī)范，用戶可以直接在瀏覽器控制臺(tái)中用自己寫(xiě)的Js代碼覆蓋原有的Js代碼；或者，用戶還可以直接在瀏覽器中禁用Js；等等?？傊岸说膫鬟^(guò)來(lái)的數(shù)據(jù)可信度基本上可以認(rèn)為比較低，太容易被利用了。
而我的思路都是很簡(jiǎn)單的，就是關(guān)注比較重要的幾個(gè)節(jié)點(diǎn)，看看有沒(méi)有可乘之機(jī)。如登錄、權(quán)限判定、數(shù)據(jù)加載等前后，對(duì)方是怎么做的，用了什么樣的技術(shù)，有沒(méi)有留下很明顯的漏洞可以讓我利用。像這兩個(gè)網(wǎng)站，加載的Js文檔都沒(méi)有進(jìn)行混淆，注釋也都留著，還寫(xiě)得很詳細(xì)。比較湊巧的是，這兩個(gè)網(wǎng)站都用到了比較多的前端的技術(shù)，也都用到了sessionStorage。

選擇安全穩(wěn)定的服務(wù)器
眾多企業(yè)出現(xiàn)安全問(wèn)題普遍的因素，就是服務(wù)器不穩(wěn)定，DNS、快照被劫持，出現(xiàn)了亂七八糟的廣告內(nèi)容，所以建時(shí)，一定要選購(gòu)比較的、安全性及穩(wěn)定性高的服務(wù)器。

修改后臺(tái)初始密碼
每個(gè)都有一個(gè)后臺(tái)賬戶，用于日常的維護(hù)更新，而很多后臺(tái)初始密碼都過(guò)于簡(jiǎn)單，在拿到后臺(tái)管理賬號(hào)密碼時(shí)，要先把初始密碼修改掉，帳號(hào)密碼要有一定的復(fù)雜度，不要使用域名、年份、姓名、純數(shù)字等元素，要知道密碼越好記也就意味著越容易被攻破。
SINE安全網(wǎng)站漏洞檢測(cè)時(shí)必須要人工去審計(jì)漏洞和查找漏洞找出問(wèn)題所在并修復(fù)漏洞，對(duì)各項(xiàng)功能都進(jìn)行了全面的安全檢測(cè)。
http://www.cxftmy.com