好，第二個的話，就是咱們?nèi)プ龉δ軠y試的話，你要知道你我們經(jīng)常做的一些測試的策略有哪一些，然后你是從哪些角度去做這一些測試策略的比如說這些測試策略的話有咱們的功能測試，然后 UI 兼容性測試、穩(wěn)定性測試，那這些東西你如何去做你是如何去實施的，你會從哪些角度去測試，這個也是做做咱們黑盒測試必須要掌握的一個。
攻擊產(chǎn)業(yè)鏈成熟，攻擊成本極低
目前黑產(chǎn)產(chǎn)業(yè)愈發(fā)成熟，發(fā)起一次網(wǎng)絡(luò)攻擊或入侵的代價變得非常低廉，如果你在網(wǎng)上搜一搜，就會發(fā)現(xiàn)，僅需花費數(shù)十元，便可以購買 50M 的日攻擊服務(wù)。如果包月，費用更低，即花費 500 元就可以攻擊一個中小企業(yè)長達一個月。這樣一來，企業(yè)將面臨的不但是要在應(yīng)用架構(gòu)上花重金配置的安全防護類產(chǎn)品，還需要在安全防護方面投入運維人力，中小企業(yè)根本無力承擔(dān)，安全成為中小企業(yè)無法承受之重。

那如果說我我把這個計算器這個軟件給到你，然后我跟你說，你把這個計算機上面所有的功能給我測一遍，確保它的功能是沒有問題的，沒有問題之后，我們就可以把這個軟件去給用戶進行交付了。 如果大家想要對自己的網(wǎng)站或APP進行黑盒功能測試的話可以向網(wǎng)站安全公司尋求服務(wù)，國內(nèi)SINESAFE,鷹盾安全，綠盟，啟明星辰，都是做的比較好的安全公司。

開源IDS系統(tǒng)有很多種，比較有名的系統(tǒng)有Snort、Suricata、Zeek等，我們選用Suricata是因為Suricata有多年的發(fā)展歷史，沉淀了的各種威脅檢測規(guī)則，新版的Suricata3與DPDK相結(jié)合，處理大級別的數(shù)據(jù)分析，Suricata支持Lua語言工具支持，可以通過Lua擴展對分析的各種實用工具。
Suricata與Graylog結(jié)合的原因，是因為在Graylog開源社區(qū)版本對用數(shù)據(jù)的數(shù)據(jù)處理量沒有上限限制，可以擴展很多的結(jié)點來擴展數(shù)據(jù)存儲的空間和瞬時數(shù)據(jù)處理的并發(fā)能力。Suricata在日志輸出方面，可以將日志的輸出，輸出成標(biāo)準(zhǔn)的JSON格式，通過日志腳本收集工具，可以將日志數(shù)據(jù)推送給Graylog日志收集服務(wù)，Graylog只要對應(yīng)創(chuàng)建日志截取，就可以對JSON日志數(shù)據(jù)，進行實時快速的收集與對日志數(shù)據(jù)結(jié)構(gòu)化和格式化。將JSON按Key和Value的形式進行拆分，然后保存到ElasticSearch數(shù)據(jù)庫中，并提供一整套的查詢API取得Suricata日志輸出結(jié)果。
在通過API取得數(shù)據(jù)這種形式以外，Graylog自身就已經(jīng)支持了插件擴展，數(shù)據(jù)面板，數(shù)據(jù)查詢前臺，本地化業(yè)務(wù)查詢語言，類SQL語言。通過開源IDS與開源SIEM結(jié)合，用Suricata分析威脅產(chǎn)生日志，用Graylog收集威脅事件日志并進行管理分析，可以低成本的完成威脅事件分析檢測系統(tǒng)，本文的重點還在于日志收集的實踐，檢測規(guī)則的創(chuàng)建為說明手段。
Suricata經(jīng)過多年發(fā)展沉淀了很多有價值的威脅檢測規(guī)則策略，當(dāng)然誤報的情況也是存在的，但可能通過手動干預(yù)Surcicata的規(guī)則，通過日志分析后，迭代式的規(guī)則，讓系統(tǒng)隨著時間生長更完善，社區(qū)也提供了可視化的規(guī)則管理方案，通過后臺管理方式管理Suricata檢測規(guī)則，規(guī)則編輯本文只是簡單介紹。Scirius就是一種以Web界面方式的Suricata規(guī)則管理工具，可視化Web操作方式進行管理Suricata規(guī)則管理。

假如你是hack，準(zhǔn)備攻擊一家企業(yè)，那么首先要做的件事就是識別盡可能多的API。我首先按常規(guī)方式使用目標(biāo)應(yīng)用程序，在瀏覽器中打開Web應(yīng)用程序或者在手機端安裝移動應(yīng)用程序，然后使用代理監(jiān)視通信。代理能夠捕獲瀏覽器或移動應(yīng)用程序?qū)蠖薟eb服務(wù)器發(fā)出的所有請求，從而使攻擊者可以對所有可用的API端點進行分類。例如，大多數(shù)API都將API/V1/login作為身份驗證端點。
如果目標(biāo)也是移動應(yīng)用程序，則將應(yīng)用程序包拆開，并查看應(yīng)用程序內(nèi)部可用的API調(diào)用?？紤]到所有可能的活動，攻擊者可以搜索無確保護用戶數(shù)據(jù)的常見配置錯誤或API。后，攻擊者尋找API文檔。一些組織為第三方發(fā)布API文檔，但為所有用戶使用相同的API端點。有了一個不錯的端點清單，攻擊者就可以測試標(biāo)準(zhǔn)用戶行為和異常行為測試，可以通過兩種方法找到有趣的漏洞。
SINE安全網(wǎng)站漏洞檢測時必須要人工去審計漏洞和查找漏洞找出問題所在并修復(fù)漏洞，對各項功能都進行了全面的安全檢測。
http://www.cxftmy.com