網(wǎng)站安全滲透包括，SQL漏洞，cookies注入漏洞，文件上傳截?cái)嗦┒矗夸洷闅v漏洞，URL跳轉(zhuǎn)漏洞，在線編輯器漏洞，網(wǎng)站身份驗(yàn)證過(guò)濾漏洞，PHP遠(yuǎn)程代碼執(zhí)行漏洞，數(shù)據(jù)庫(kù)暴庫(kù)漏洞，網(wǎng)站路徑漏洞，XSS跨站漏洞，默認(rèn)后臺(tái)及弱口令漏洞，任意文件漏洞，網(wǎng)站代碼遠(yuǎn)程溢出漏洞，任意賬號(hào)密碼漏洞，程序功能上的邏輯漏洞，任意次數(shù)短信發(fā)送、任意或郵箱注冊(cè)漏洞后臺(tái)或者api接口安全認(rèn)證繞過(guò)漏洞等等的安全滲透測(cè)試。
第六步，保證全部系統(tǒng)應(yīng)用都到位，并采取安全防護(hù)措施很多系統(tǒng)管理員在網(wǎng)站建設(shè)維護(hù)安全隱患時(shí)只應(yīng)用的Web安全防范措施，而沒(méi)有為全部系統(tǒng)軟件保持強(qiáng)大的安全防范措施。實(shí)際上，這不是可用的。為了保證全部系統(tǒng)軟件都遭受靠譜的安全防范措施的維護(hù)，好的辦法包含應(yīng)用提高登陸密碼、應(yīng)用數(shù)據(jù)庫(kù)加密、直接性軟件更新、修復(fù)系統(tǒng)軟件、關(guān)掉未應(yīng)用的服務(wù)項(xiàng)目和選用靠譜的外場(chǎng)防御力。

服務(wù)
滲透測(cè)試有時(shí)是作為外部審查的一部分而進(jìn)行的。這種測(cè)試需要探查系統(tǒng)，以發(fā)現(xiàn)操作系統(tǒng)和任何網(wǎng)絡(luò)服務(wù)，并檢查這些網(wǎng)絡(luò)服務(wù)有無(wú)漏洞。你可以用漏洞掃描器完成這些任務(wù)，但往往人士用的是不同的工具，而且他們比較熟悉這類替代性工具。
滲透測(cè)試的作用一方面在于，解釋所用工具在探查過(guò)程中所得到的結(jié)果。只要手頭有漏洞掃描器，誰(shuí)都可以利用這種工具探查防火墻或者是網(wǎng)絡(luò)的某些部分。但很少有人能全面地了解漏洞掃描器得到的結(jié)果，更別提另外進(jìn)行測(cè)試，并證實(shí)漏洞掃描器所得報(bào)告的準(zhǔn)確性了。
打一個(gè)比方來(lái)解釋滲透測(cè)試的必要性。假設(shè)你要修建一座金庫(kù)，并且你按照建設(shè)規(guī)范將金庫(kù)建好了。此時(shí)是否就可以將金庫(kù)立即投入使用呢？肯定不是！因?yàn)檫€不清楚整個(gè)金庫(kù)系統(tǒng)的安全性如何，是否能夠確保存放在金庫(kù)的貴重東西萬(wàn)無(wú)一失。那么此時(shí)該如何做？可以請(qǐng)一些行業(yè)中安全方面的對(duì)這個(gè)金庫(kù)進(jìn)行全面檢測(cè)和評(píng)估，比如檢查金庫(kù)門(mén)是否容易被破壞，檢查金庫(kù)的報(bào)警系統(tǒng)是否在異常出現(xiàn)的時(shí)候及時(shí)報(bào)警，檢查所有的門(mén)、窗、通道等重點(diǎn)易突破的部位是否牢不可破，檢查金庫(kù)的管理安全制度、視頻安防系統(tǒng)、出控制等等。甚至?xí)?qǐng)專人模擬入侵金庫(kù)，驗(yàn)證金庫(kù)的實(shí)際安全性，期望發(fā)現(xiàn)存在的問(wèn)題。 這個(gè)過(guò)程就好比是對(duì)金庫(kù)的滲透測(cè)試。這里金庫(kù)就像是我們的信息系統(tǒng)，各種測(cè)試、檢查、模擬入侵就是滲透測(cè)試。

如今，大多數(shù)攻擊進(jìn)行的是基本的漏洞掃描，如果攻擊得逞，目標(biāo)就岌岌可危。如果攻擊者企圖對(duì)你站點(diǎn)進(jìn)行漏洞掃描，他就會(huì)獲得大量的防火墻日志消息，而網(wǎng)絡(luò)的任何入侵檢測(cè)系統(tǒng)（IDS）也會(huì)開(kāi)始發(fā)送有關(guān)當(dāng)前攻擊的警報(bào)。如果你還沒(méi)有試過(guò)，不妨利用漏洞掃描器結(jié)合IDS對(duì)網(wǎng)絡(luò)來(lái)一番試驗(yàn)。別忘了首先獲得對(duì)方的許可，因?yàn)?，運(yùn)行漏洞掃描器會(huì)使IDS引發(fā)警報(bào)。

有關(guān)滲透測(cè)試的合同或工作說(shuō)明應(yīng)該包括你從所得報(bào)告中想要獲得的各個(gè)方面。如果你請(qǐng)人進(jìn)行有限的測(cè)試，得到的只是計(jì)算機(jī)生成的報(bào)告。而滲透測(cè)試的真正價(jià)值在于由報(bào)告所出的分析。進(jìn)行測(cè)試的一方會(huì)詳細(xì)介紹發(fā)現(xiàn)結(jié)果，并說(shuō)明其重要性。在有的地方，測(cè)試人員還會(huì)提議采取何種補(bǔ)救方法，譬如更新服務(wù)器、禁用網(wǎng)絡(luò)服務(wù)、改變防火墻規(guī)則等等。
安全評(píng)估報(bào)告 
· 根據(jù)不同的滲透測(cè)試結(jié)果，形成一套完整的安全報(bào)告。報(bào)告出所發(fā)現(xiàn)的漏洞以及修復(fù)方案。
· 根據(jù)發(fā)現(xiàn)的漏洞，分三個(gè)風(fēng)險(xiǎn)級(jí)別，高危，中等，低危三個(gè)等級(jí)。 
· 我們不做攻擊，在洽談合作時(shí),需要提供網(wǎng)站和服務(wù)器的所有權(quán)。
http://www.cxftmy.com