SINE安全對(duì)網(wǎng)站漏洞檢測(cè)具有的安全技術(shù)人員，而且完全不依靠軟件去掃描，所有漏洞檢測(cè)服務(wù)都是由我們?nèi)斯とz測(cè)，比如對(duì)代碼進(jìn)行審計(jì)，以及都每個(gè)網(wǎng)站或APP的功能進(jìn)行單的詳細(xì)測(cè)試，如跨權(quán)限漏洞，支付漏洞繞過(guò)，訂單價(jià)格被篡改，或訂單支付狀態(tài)之類的，或會(huì)員找回密碼這里被強(qiáng)制找回等，還有一些邏輯漏洞，上傳漏洞，垂直權(quán)限漏洞等等。
近，攻擊者接管賬戶的嘗試在不斷增加。錯(cuò)誤消息過(guò)于“詳細(xì)周到”，往往使此類攻擊更加容易。冗長(zhǎng)的錯(cuò)誤消息會(huì)引導(dǎo)攻擊者了解他們需要進(jìn)行哪些更改才能偽裝成合法請(qǐng)求。API專為低負(fù)載下的高速交易而設(shè)計(jì)，使攻擊者可以使用高性能系統(tǒng)找出有效賬戶，然后嘗試登錄并更改密碼進(jìn)行利用。解決方法：不要拿用戶體驗(yàn)作為擋牌，有些看起來(lái)有利于用戶體驗(yàn)的做法，未必有利于安全性。系統(tǒng)返回的錯(cuò)誤信息不應(yīng)該包括錯(cuò)誤的用戶名或錯(cuò)誤的密碼，甚至不能包含錯(cuò)誤信息的類別（用戶名還是密碼錯(cuò)誤）。用于查詢數(shù)據(jù)的錯(cuò)誤消息也是如此，如果查詢/搜索格式不正確或由于某種原因而無(wú)法執(zhí)行，則應(yīng)該返回“沒有營(yíng)養(yǎng)”的錯(cuò)誤信息：“糟糕，哪里出錯(cuò)了”。

現(xiàn)在移動(dòng)互聯(lián)網(wǎng)的應(yīng)用復(fù)蓋了整個(gè)行業(yè)，其中也有很多投機(jī)家，他們的開發(fā)經(jīng)費(fèi)不夠，想以的成本運(yùn)營(yíng)市場(chǎng)上的起爆產(chǎn)品，所以開始了APP解讀的想法。他們雇用，反譯APP，修改重要代碼和服務(wù)器的連接方式，重新包裝，簽字，生成與原創(chuàng)相同的應(yīng)用。然后向一些不正當(dāng)?shù)那拦贾\取利益。此外，還有一些黑色組織在應(yīng)用程序后添加惡意代碼，如獲取相冊(cè)數(shù)據(jù)、獲取地址簿和短信數(shù)據(jù)，以及技術(shù)銀行賬戶等敏感信息。解決方案:APP的標(biāo)志是簽名，開發(fā)團(tuán)隊(duì)和開發(fā)公司可以追加防止二次包裝的相關(guān)代碼，可以預(yù)防一些小毛賊。目前，國(guó)內(nèi)主流軟件分發(fā)平臺(tái)也對(duì)APP進(jìn)行了識(shí)別，但由于疏忽，APP、木馬式APP蔓延開來(lái)。如果想以更的方式解讀APP的話，建議咨詢網(wǎng)站安全公司，加強(qiáng)APP本身的安全性，大幅度增加了編譯、調(diào)整和二次包裝的難易度。

其實(shí)從開發(fā)的角度，如果要保證代碼至少在邏輯方面沒有明顯的漏洞，還是有些繁瑣的。舉個(gè)簡(jiǎn)單的例子，如網(wǎng)站的數(shù)據(jù)檢驗(yàn)功能，不允許前端提交不符合當(dāng)前要求規(guī)范的數(shù)據(jù)（比如年齡文本框部分不能提交字母）。那么為了實(shí)現(xiàn)這個(gè)功能，首先開發(fā)者肯定要在前端實(shí)現(xiàn)該功能，直接在前端阻止用戶提交不符規(guī)范的數(shù)據(jù)，否則用戶體驗(yàn)會(huì)很差，且占用服務(wù)器端的資源。
但是沒有安全意識(shí)或覺得麻煩的開發(fā)者就會(huì)僅僅在前端用Js進(jìn)行校驗(yàn)，后端沒有重復(fù)進(jìn)行校驗(yàn)。這樣就很容易給惡意用戶機(jī)會(huì)：比如不通過(guò)前端頁(yè)面，直接向后端接口發(fā)送數(shù)據(jù)：或者，前端代碼編寫不規(guī)范，用戶可以直接在瀏覽器控制臺(tái)中用自己寫的Js代碼覆蓋原有的Js代碼；或者，用戶還可以直接在瀏覽器中禁用Js；等等?？傊?，前端的傳過(guò)來(lái)的數(shù)據(jù)可信度基本上可以認(rèn)為比較低，太容易被利用了。
而我的思路都是很簡(jiǎn)單的，就是關(guān)注比較重要的幾個(gè)節(jié)點(diǎn)，看看有沒有可乘之機(jī)。如登錄、權(quán)限判定、數(shù)據(jù)加載等前后，對(duì)方是怎么做的，用了什么樣的技術(shù)，有沒有留下很明顯的漏洞可以讓我利用。像這兩個(gè)網(wǎng)站，加載的Js文檔都沒有進(jìn)行混淆，注釋也都留著，還寫得很詳細(xì)。比較湊巧的是，這兩個(gè)網(wǎng)站都用到了比較多的前端的技術(shù)，也都用到了sessionStorage。

在之前的一系列文章中，我們主要講了內(nèi)網(wǎng)滲透的一些知識(shí)，而在現(xiàn)實(shí)中，要進(jìn)行內(nèi)網(wǎng)滲透，一個(gè)很重要的前提便是：你得能進(jìn)入內(nèi)網(wǎng)??！所以，從這篇文章開始，我們將開啟Web滲透的學(xué)習(xí)（內(nèi)網(wǎng)滲透系列還會(huì)繼續(xù)長(zhǎng)期更新哦）。滲透測(cè)試，是滲透測(cè)試完全模擬hack可能使用的攻擊技術(shù)和漏洞發(fā)現(xiàn)技術(shù)，對(duì)目標(biāo)網(wǎng)絡(luò)、主機(jī)、應(yīng)用的安全作深入的探測(cè)，幫助企業(yè)挖掘出正常業(yè)務(wù)流程中的安全缺陷和漏洞，助力企業(yè)先于hack發(fā)現(xiàn)安全風(fēng)險(xiǎn)，防患于未然。
Web應(yīng)用的滲透測(cè)試流程主要分為3個(gè)階段，分別是：信息收集→漏洞發(fā)現(xiàn)→漏洞利用。本文我們將對(duì)信息收集這一環(huán)節(jié)做一個(gè)基本的講解。信息收集介紹進(jìn)行web滲透測(cè)試之前，重要的一步那就是就是信息收集了，俗話說(shuō)“滲透的本質(zhì)也就是信息收集”，信息收集的深度，直接關(guān)系到滲透測(cè)試的成敗。打好信息收集這一基礎(chǔ)可以讓測(cè)試者選擇合適和準(zhǔn)確的滲透測(cè)試攻擊方式，縮短滲透測(cè)試的時(shí)間。一般來(lái)說(shuō)收集的信息越多越好，通常包括以下幾個(gè)部分：
SINE安全網(wǎng)站漏洞檢測(cè)時(shí)必須要人工去審計(jì)漏洞和查找漏洞找出問題所在并修復(fù)漏洞，對(duì)各項(xiàng)功能都進(jìn)行了全面的安全檢測(cè)。
http://www.cxftmy.com