許多客戶在網站，以及APP上線的同時，都會提前的對網站進行全面的滲透測試以及安全檢測，提前檢測出存在的網站漏洞，以免后期網站發(fā)展過程中出現(xiàn)重大的經濟損失，前段時間有客戶找到我們SINE安全公司做滲透測試服務，在此我們將把對客戶的整個滲透測試過程以及安全測試，發(fā)現(xiàn)的漏洞都記錄下來，分享給大家，也希望大家更深地去了解滲透測試。
選擇安全穩(wěn)定的服務器
眾多企業(yè)出現(xiàn)安全問題普遍的因素，就是服務器不穩(wěn)定，DNS、快照被劫持，出現(xiàn)了亂七八糟的廣告內容，所以建時，一定要選購比較的、安全性及穩(wěn)定性高的服務器。

大多數(shù)開發(fā)人員沒有安全意識，其中軟件開發(fā)公司更嚴重。他們專注于實現(xiàn)客戶的需求，不考慮現(xiàn)在的代碼是否有安全上的危險。在生產軟件的同時，也生產脆弱性，沒有任何軟件是的，沒有脆弱性。因此，建議網絡安全技術人員對代碼進行安全審計，挖掘漏洞，避免風險。無論是大型軟件還是小型軟件，安全穩(wěn)定都是APP運營的標準。否則，即使是更好的商業(yè)模式也無法忍受網絡攻擊的推敲。大型軟件受到競爭對手和黑產組織的威脅，小型軟件通過掃描式隨機攻擊侵入服務器，稍有疏忽的平臺被利用。

中小企業(yè)資金匱乏，安全人員稀缺
在 50 人以下的小微企業(yè)中，高達 39.8%的企業(yè)沒有任何信息安全投入，50~100 人企業(yè)中，31.9%的企業(yè)沒有任何信息安全投入。因此，對于中小傳統(tǒng)企業(yè)用戶而言，本身并沒有過多的技術人員投入，往往等業(yè)務系統(tǒng)上線后，就很少關注線上問題。

1.注入漏洞。由于其普遍性和嚴重性，注入漏洞在Web0漏洞中始終排在位。常見的注入漏洞包括SQL、LDAP、OS命令、ORM和OGNL。用戶可以通過任何輸入點輸入構建的惡意代碼。如果應用程序沒有嚴格過濾用戶的輸入，一旦輸入的惡意代碼作為命令或查詢的一部分被發(fā)送到解析器，就可能導致注入漏洞。以SQL注入為例，是因為攻擊者通過瀏覽器或其他客戶端向網站參數(shù)中插入惡意SQL語句，而網站應用程序直接將惡意SQL語句帶入數(shù)據庫并執(zhí)行而不進行過濾，終導致通過數(shù)據庫獲取敏感信息或其他惡意操作。
SINE安全網站漏洞檢測時必須要人工去審計漏洞和查找漏洞找出問題所在并修復漏洞，對各項功能都進行了全面的安全檢測。
http://www.cxftmy.com