好，第二個(gè)的話，就是咱們?nèi)プ龉δ軠y試的話，你要知道你我們經(jīng)常做的一些測試的策略有哪一些，然后你是從哪些角度去做這一些測試策略的比如說這些測試策略的話有咱們的功能測試，然后 UI 兼容性測試、穩(wěn)定性測試，那這些東西你如何去做你是如何去實(shí)施的，你會(huì)從哪些角度去測試，這個(gè)也是做做咱們黑盒測試必須要掌握的一個(gè)。
插件技術(shù)的本質(zhì)是通過APP軟件的重要函數(shù)，模擬APP客戶端，欺服務(wù)器發(fā)送虛假數(shù)據(jù)的手段。例如，瘋狂的紅包軟件，其原理是利用HOOK技術(shù)紅包函數(shù)，制作插件與APP函數(shù)對(duì)接，達(dá)到插件的目的，一些大型APP軟件具有HOOK識(shí)別機(jī)制，但大多數(shù)APP仍然沒有保護(hù)的概念。解決方案:混淆或加密關(guān)鍵函數(shù)或代碼執(zhí)行過程。

下面開始我們的整個(gè)滲透測試過程，首先客戶授權(quán)我們進(jìn)行網(wǎng)站安全測試，我們才能放開手的去干，首先檢測的是網(wǎng)站是否存在SQL注入漏洞，我們SINE安全在檢測網(wǎng)站是否有sql注入的時(shí)候都會(huì)配合查看mysql數(shù)據(jù)庫的日志來查詢我們提交的SQL語句是否成功的執(zhí)行，那么很多人會(huì)問該如何開啟數(shù)據(jù)庫的日志，如何查看呢？首先連接linux服務(wù)器的SSH端口，利用root的賬號(hào)密碼進(jìn)服務(wù)器，打開mysql的配置文件mysqld.cnf編輯general_log_file=（log日志的），general_log=1，在服務(wù)器里輸入tail -f （log），來查看實(shí)時(shí)的數(shù)據(jù)庫語句執(zhí)行日志。當(dāng)我們SINE安全技術(shù)在測試SQL注入漏洞的時(shí)候，就會(huì)實(shí)時(shí)的看到是否有惡意的SQL語句執(zhí)行成功，如果有那么數(shù)據(jù)庫日志就會(huì)出現(xiàn)錯(cuò)誤提示，在滲透測試中是很方便的，也更利于查找漏洞。

滲透測試其實(shí)就是一個(gè)攻防對(duì)抗的過程，所謂知己知彼，才能百戰(zhàn)百勝。如今的網(wǎng)站基本都有防護(hù)措施，大企業(yè)或大單位因?yàn)榫W(wǎng)站眾多，一般都會(huì)選擇大型防火墻作為保護(hù)措施，比如深信服、天融信等等，小單位或單個(gè)網(wǎng)站通常會(huì)選擇D盾、安全狗或開源的安全軟件作為保護(hù)措施，一些常見的開源waf有：OpenResty、ModSecurity、NAXSI、WebKnight、ShadowDaemon等等。
當(dāng)然，服務(wù)器沒裝防護(hù)的的網(wǎng)站還是有的。而這些防護(hù)措施都有對(duì)常見漏洞的防御措施，所以在實(shí)際的漏洞挖掘和利用過程中必須考慮這些問題，如何確定防護(hù)措施，如何對(duì)抗防護(hù)措施。web常見漏洞一直是變化的，隔一段時(shí)間就會(huì)有新的漏洞被發(fā)現(xiàn)，但實(shí)戰(zhàn)中被利用的漏洞其實(shí)就那么幾個(gè)，就像編程語言一樣，穩(wěn)坐前三的永遠(yuǎn)是c、c++。

在對(duì)前端輸入過來的值進(jìn)行安全判斷，確認(rèn)變量值是否存在，如果存在將不會(huì)覆蓋，杜絕變量覆蓋導(dǎo)致?lián)饺霅阂鈽?gòu)造的sql注入語句代碼在GET請求，以及POST請求里，過濾非法字符的輸入。 '分號(hào)過濾 --過濾 %20字符過濾，單引號(hào)過濾，%百分號(hào)， and過濾，tab鍵值等的的安全過濾。如果對(duì)代碼不是太懂的話，也可以找網(wǎng)站安全公司來處理，國內(nèi)SINESAFE,啟明星辰，綠盟都是比較的。邏輯漏洞的修復(fù)辦法，對(duì)密碼找回功能頁面進(jìn)行安全校驗(yàn)，檢查所屬賬號(hào)的身份是否是當(dāng)前的，如果不是不能發(fā)送驗(yàn)證碼，其實(shí)就是代碼功能的邏輯設(shè)計(jì)出了問題，邏輯理順清楚了，就很容易的修復(fù)漏洞，也希望我們SINE安全分享的這次滲透測試過程能讓更多的人了解滲透測試，安全防患于未然。
SINE安全網(wǎng)站漏洞檢測時(shí)必須要人工去審計(jì)漏洞和查找漏洞找出問題所在并修復(fù)漏洞，對(duì)各項(xiàng)功能都進(jìn)行了全面的安全檢測。
http://www.cxftmy.com