雖然現(xiàn)在的網(wǎng)站安全防護技術(shù)已經(jīng)得到了很大的提升，但是相應地，一些網(wǎng)站入侵技術(shù)也會不斷地升級、進化。如何建設網(wǎng)站，因此，企業(yè)在進行網(wǎng)站建設管理的時候，一定不可以輕視網(wǎng)站安全這一塊，建議企業(yè)周期性、長期性地用一些基本方法來檢測企業(yè)網(wǎng)站的安全性，確保網(wǎng)站順利、正常地運營下去。
滲透測試其實就是一個攻防對抗的過程，所謂知己知彼，才能百戰(zhàn)百勝。如今的網(wǎng)站基本都有防護措施，大企業(yè)或大單位因為網(wǎng)站眾多，一般都會選擇大型防火墻作為保護措施，比如深信服、天融信等等，小單位或單個網(wǎng)站通常會選擇D盾、安全狗或開源的安全軟件作為保護措施，一些常見的開源waf有：OpenResty、ModSecurity、NAXSI、WebKnight、ShadowDaemon等等。
當然，服務器沒裝防護的的網(wǎng)站還是有的。而這些防護措施都有對常見漏洞的防御措施，所以在實際的漏洞挖掘和利用過程中必須考慮這些問題，如何確定防護措施，如何對抗防護措施。web常見漏洞一直是變化的，隔一段時間就會有新的漏洞被發(fā)現(xiàn)，但實戰(zhàn)中被利用的漏洞其實就那么幾個，就像編程語言一樣，穩(wěn)坐前三的永遠是c、c++。

開源IDS系統(tǒng)有很多種，比較有名的系統(tǒng)有Snort、Suricata、Zeek等，我們選用Suricata是因為Suricata有多年的發(fā)展歷史，沉淀了的各種威脅檢測規(guī)則，新版的Suricata3與DPDK相結(jié)合，處理大級別的數(shù)據(jù)分析，Suricata支持Lua語言工具支持，可以通過Lua擴展對分析的各種實用工具。
Suricata與Graylog結(jié)合的原因，是因為在Graylog開源社區(qū)版本對用數(shù)據(jù)的數(shù)據(jù)處理量沒有上限限制，可以擴展很多的結(jié)點來擴展數(shù)據(jù)存儲的空間和瞬時數(shù)據(jù)處理的并發(fā)能力。Suricata在日志輸出方面，可以將日志的輸出，輸出成標準的JSON格式，通過日志腳本收集工具，可以將日志數(shù)據(jù)推送給Graylog日志收集服務，Graylog只要對應創(chuàng)建日志截取，就可以對JSON日志數(shù)據(jù)，進行實時快速的收集與對日志數(shù)據(jù)結(jié)構(gòu)化和格式化。將JSON按Key和Value的形式進行拆分，然后保存到ElasticSearch數(shù)據(jù)庫中，并提供一整套的查詢API取得Suricata日志輸出結(jié)果。
在通過API取得數(shù)據(jù)這種形式以外，Graylog自身就已經(jīng)支持了插件擴展，數(shù)據(jù)面板，數(shù)據(jù)查詢前臺，本地化業(yè)務查詢語言，類SQL語言。通過開源IDS與開源SIEM結(jié)合，用Suricata分析威脅產(chǎn)生日志，用Graylog收集威脅事件日志并進行管理分析，可以低成本的完成威脅事件分析檢測系統(tǒng)，本文的重點還在于日志收集的實踐，檢測規(guī)則的創(chuàng)建為說明手段。
Suricata經(jīng)過多年發(fā)展沉淀了很多有價值的威脅檢測規(guī)則策略，當然誤報的情況也是存在的，但可能通過手動干預Surcicata的規(guī)則，通過日志分析后，迭代式的規(guī)則，讓系統(tǒng)隨著時間生長更完善，社區(qū)也提供了可視化的規(guī)則管理方案，通過后臺管理方式管理Suricata檢測規(guī)則，規(guī)則編輯本文只是簡單介紹。Scirius就是一種以Web界面方式的Suricata規(guī)則管理工具，可視化Web操作方式進行管理Suricata規(guī)則管理。

近，攻擊者接管賬戶的嘗試在不斷增加。錯誤消息過于“詳細周到”，往往使此類攻擊更加容易。冗長的錯誤消息會引導攻擊者了解他們需要進行哪些更改才能偽裝成合法請求。API專為低負載下的高速交易而設計，使攻擊者可以使用高性能系統(tǒng)找出有效賬戶，然后嘗試登錄并更改密碼進行利用。解決方法：不要拿用戶體驗作為擋牌，有些看起來有利于用戶體驗的做法，未必有利于安全性。系統(tǒng)返回的錯誤信息不應該包括錯誤的用戶名或錯誤的密碼，甚至不能包含錯誤信息的類別（用戶名還是密碼錯誤）。用于查詢數(shù)據(jù)的錯誤消息也是如此，如果查詢/搜索格式不正確或由于某種原因而無法執(zhí)行，則應該返回“沒有營養(yǎng)”的錯誤信息：“糟糕，哪里出錯了”。

同樣地，由于可用的參數(shù)太多，收集數(shù)據(jù)將成為顯而易見的下一步行動。許多企業(yè)的系統(tǒng)支持匿名連接，并且傾向泄漏普通用戶不需要的額外數(shù)據(jù)。另外，許多企業(yè)傾向于存儲可以直接訪問的數(shù)據(jù)。安全人員正在努力應對API請求經(jīng)常暴露數(shù)據(jù)存儲位置的挑戰(zhàn)。例如，當我查看安全攝像機中的視頻時，可以看到該信息來自AmazonS3存儲庫。通常，那些S3存儲庫的保護并不周全，任何人的數(shù)據(jù)都可以被檢索。
另一個常見的數(shù)據(jù)挑戰(zhàn)是數(shù)據(jù)過載，很多企業(yè)都像入冬前的花栗鼠，存儲的數(shù)據(jù)量遠遠超出了需要。很多過期用戶數(shù)據(jù)已經(jīng)沒有商業(yè)價值和保存價值，但是如果發(fā)生泄密，則會給企業(yè)帶來巨大的和合規(guī)風險。解決方法：對于存儲用戶數(shù)據(jù)的企業(yè)，不僅僅是PII或PHI，都必須進行徹底的數(shù)據(jù)審查。在檢查了存儲的數(shù)據(jù)之后，應制定數(shù)據(jù)訪問規(guī)則并進行測試。確保能夠匿名訪問的數(shù)據(jù)不涉及任何敏感數(shù)據(jù)。
SINE安全網(wǎng)站漏洞檢測時必須要人工去審計漏洞和查找漏洞找出問題所在并修復漏洞，對各項功能都進行了全面的安全檢測。
http://www.cxftmy.com