好，第二個(gè)的話，就是咱們?nèi)プ龉δ軠y試的話，你要知道你我們經(jīng)常做的一些測試的策略有哪一些，然后你是從哪些角度去做這一些測試策略的比如說這些測試策略的話有咱們的功能測試，然后 UI 兼容性測試、穩(wěn)定性測試，那這些東西你如何去做你是如何去實(shí)施的，你會(huì)從哪些角度去測試，這個(gè)也是做做咱們黑盒測試必須要掌握的一個(gè)。
多年以來，應(yīng)用程序設(shè)計(jì)總是優(yōu)先考慮功能性和可用性，很少考慮安全性。很多CISO表示，API安全性尤其不被重視，甚至完全被排除在安全設(shè)計(jì)流程之外。通常都是開發(fā)人員開發(fā)和部署完成后，在API投入生產(chǎn)且頻繁遭受攻擊后才亡羊補(bǔ)牢查找問題。安全性（包括API安全性）需要成為產(chǎn)品設(shè)計(jì)的一部分，并且應(yīng)作為首要考慮因素加以實(shí)現(xiàn)，而不是事后填坑。
解決方法：審查應(yīng)用程序的安全體系結(jié)構(gòu)是邁向安全系統(tǒng)的重要步。請(qǐng)記住，API使攻擊者能更地攻擊或利用您的系統(tǒng)。設(shè)計(jì)安全性的目標(biāo)是讓API成為用戶而非攻擊者的工具。以上只列舉了一些常見的API漏洞，總之，重要的是在軟件開發(fā)生命周期的早期階段就討論安全問題。微小的改進(jìn)就可以帶來巨大的好處，避免API遭攻擊造成的巨大和損失。

這在目前的互聯(lián)網(wǎng)環(huán)境下，很容易出現(xiàn)安全問題，比如被攻擊、被掛馬、被用戶數(shù)據(jù)等等，尤其是本身在代碼安全層面做的并不好的情況下，這種事件就更容易發(fā)生，再加上，這些中小企業(yè)普遍缺乏網(wǎng)絡(luò)安全投資和必要防護(hù)手段，抗擊打能力比較弱，一旦遭到網(wǎng)絡(luò)攻擊，蒙受巨大經(jīng)濟(jì)損失后將很難恢復(fù)元?dú)狻?br/>
近年來，各類頻繁遭受攻擊致使網(wǎng)絡(luò)癱瘓、內(nèi)容被篡改，商業(yè)機(jī)密和用戶隱私被取，使經(jīng)營者和用戶都損失慘重。電商和服務(wù)一直是網(wǎng)絡(luò)攻擊的重災(zāi)區(qū)，京東、當(dāng)當(dāng)網(wǎng)都曾遭受過攻擊，造成直接經(jīng)濟(jì)損失。
為什么愛找你的麻煩？
試想當(dāng)你的客戶訪問你的出現(xiàn)這樣的情況，不僅浪費(fèi)優(yōu)化推廣費(fèi)用和人力成本，還有可能對(duì)你的企業(yè)口碑以及造成惡劣的影響！再被一次次打擊的情況下，我們不禁要問：為什么愛找你的麻煩？
程序本身存在漏洞
很多企業(yè)的是在網(wǎng)上下載的開源代碼，或隨便找網(wǎng)建公司開發(fā)的，程序本身就存在漏洞風(fēng)險(xiǎn)。試想一下，你花請(qǐng)幾百或幾千元做的東西，兩天就出來了。是菜場買白菜嗎？安全能提高到哪里去？
解決方案：發(fā)現(xiàn)問題查找問題原因，組織技術(shù)團(tuán)隊(duì)進(jìn)行排查分析。

討論回顧完上次整改的問題之后，理清了思路。然后我登錄了網(wǎng)站查看一下原因，因?yàn)榫W(wǎng)站只有一個(gè)上傳圖片的地方，我進(jìn)行抓包嘗試，使用了repeater重放包之后，發(fā)現(xiàn)返回包確實(shí)沒有返回文檔上傳路徑，然后我又嘗試了各種繞過，結(jié)果都不行。后苦思冥想得不到結(jié)果，然后去問一下這個(gè)云平臺(tái)給他們提供的這個(gè)告警是什么原因?？戳嗽破脚_(tái)反饋的結(jié)果里面查殺到有圖片碼，這個(gè)問題不大，上傳文檔沒有執(zhí)行權(quán)限，而且沒有返回文檔路徑，還對(duì)文檔名做了隨機(jī)更改，但是為啥會(huì)有這個(gè)jsp上傳成功了，這讓我百思不得其解。
當(dāng)我仔細(xì)云平臺(tái)提供的發(fā)現(xiàn)webshel數(shù)據(jù)的時(shí)候，我細(xì)心的觀察到了文檔名使用了base編碼，這個(gè)我很疑惑，都做了隨機(jī)函數(shù)了還做編碼干嘛，上次測試的時(shí)候是沒有做編碼的。我突然想到了問題關(guān)鍵，然后使用burpsuite的decoder模塊，將文檔名“1jsp”做了base編碼成“MS5Kc1A=”，然后發(fā)送成功反饋狀態(tài)碼200，再不是這個(gè)上傳失敗反饋500狀態(tài)碼報(bào)錯(cuò)了。
所以，這個(gè)問題所在是，在整改過程中研發(fā)人員對(duì)這個(gè)文檔名使用了base編碼，導(dǎo)致文檔名在存儲(chǔ)過程中會(huì)使用base解析，而我上傳文檔的時(shí)候?qū)⑦@個(gè)后綴名.jsp也做了這個(gè)base編碼，在存儲(chǔ)過程中.jsp也被成功解析，研發(fā)沒有對(duì)解析之后進(jìn)行白名單限制。其實(shí)這種編碼的更改是不必要的，畢竟原來已經(jīng)做了隨機(jī)數(shù)更改了文檔名了，再做編碼有點(diǎn)畫蛇添足了，這就是為啥程序bug改一個(gè)引發(fā)更多的bug原因。
SINE安全網(wǎng)站漏洞檢測時(shí)必須要人工去審計(jì)漏洞和查找漏洞找出問題所在并修復(fù)漏洞，對(duì)各項(xiàng)功能都進(jìn)行了全面的安全檢測。
http://www.cxftmy.com