好，第三個(gè)的話就是對(duì)白盒測(cè)試，那么非常重要的一點(diǎn)就是你要知道如何去設(shè)計(jì)用例，如何去設(shè)計(jì)用例 好，設(shè)計(jì)用例的話，其實(shí)就是也就是你測(cè)試這個(gè)軟件的一個(gè)非常重要的邏輯思維這個(gè)東西。 因此就是說(shuō)并不是說(shuō)每個(gè)人都能夠隨隨便便去做一做一個(gè)很好的黑盒測(cè)試的工程師。
同樣地，由于可用的參數(shù)太多，收集數(shù)據(jù)將成為顯而易見(jiàn)的下一步行動(dòng)。許多企業(yè)的系統(tǒng)支持匿名連接，并且傾向泄漏普通用戶不需要的額外數(shù)據(jù)。另外，許多企業(yè)傾向于存儲(chǔ)可以直接訪問(wèn)的數(shù)據(jù)。安全人員正在努力應(yīng)對(duì)API請(qǐng)求經(jīng)常暴露數(shù)據(jù)存儲(chǔ)位置的挑戰(zhàn)。例如，當(dāng)我查看安全攝像機(jī)中的視頻時(shí)，可以看到該信息來(lái)自AmazonS3存儲(chǔ)庫(kù)。通常，那些S3存儲(chǔ)庫(kù)的保護(hù)并不周全，任何人的數(shù)據(jù)都可以被檢索。
另一個(gè)常見(jiàn)的數(shù)據(jù)挑戰(zhàn)是數(shù)據(jù)過(guò)載，很多企業(yè)都像入冬前的花栗鼠，存儲(chǔ)的數(shù)據(jù)量遠(yuǎn)遠(yuǎn)超出了需要。很多過(guò)期用戶數(shù)據(jù)已經(jīng)沒(méi)有商業(yè)價(jià)值和保存價(jià)值，但是如果發(fā)生泄密，則會(huì)給企業(yè)帶來(lái)巨大的和合規(guī)風(fēng)險(xiǎn)。解決方法：對(duì)于存儲(chǔ)用戶數(shù)據(jù)的企業(yè)，不僅僅是PII或PHI，都必須進(jìn)行徹底的數(shù)據(jù)審查。在檢查了存儲(chǔ)的數(shù)據(jù)之后，應(yīng)制定數(shù)據(jù)訪問(wèn)規(guī)則并進(jìn)行測(cè)試。確保能夠匿名訪問(wèn)的數(shù)據(jù)不涉及任何敏感數(shù)據(jù)。

選擇安全穩(wěn)定的服務(wù)器
眾多企業(yè)出現(xiàn)安全問(wèn)題普遍的因素，就是服務(wù)器不穩(wěn)定，DNS、快照被劫持，出現(xiàn)了亂七八糟的廣告內(nèi)容，所以建時(shí)，一定要選購(gòu)比較的、安全性及穩(wěn)定性高的服務(wù)器。

大多數(shù)開(kāi)發(fā)人員沒(méi)有安全意識(shí)，其中軟件開(kāi)發(fā)公司更嚴(yán)重。他們專注于實(shí)現(xiàn)客戶的需求，不考慮現(xiàn)在的代碼是否有安全上的危險(xiǎn)。在生產(chǎn)軟件的同時(shí)，也生產(chǎn)脆弱性，沒(méi)有任何軟件是的，沒(méi)有脆弱性。因此，建議網(wǎng)絡(luò)安全技術(shù)人員對(duì)代碼進(jìn)行安全審計(jì)，挖掘漏洞，避免風(fēng)險(xiǎn)。無(wú)論是大型軟件還是小型軟件，安全穩(wěn)定都是APP運(yùn)營(yíng)的標(biāo)準(zhǔn)。否則，即使是更好的商業(yè)模式也無(wú)法忍受網(wǎng)絡(luò)攻擊的推敲。大型軟件受到競(jìng)爭(zhēng)對(duì)手和黑產(chǎn)組織的威脅，小型軟件通過(guò)掃描式隨機(jī)攻擊侵入服務(wù)器，稍有疏忽的平臺(tái)被利用。

早上，我突然被客戶告知，他部署在云平臺(tái)的服務(wù)器被檢測(cè)到webshell，已經(jīng)查殺了，而且云平臺(tái)檢測(cè)到這個(gè)ip是屬于我公司的，以為是我們公司做了測(cè)試導(dǎo)致的，問(wèn)我這個(gè)怎么上傳的webshell，我當(dāng)時(shí)也是一臉懵逼，我記得很清楚這是我的項(xiàng)目，是我親自測(cè)試的，上傳點(diǎn)不會(huì)有遺漏的，然后開(kāi)始了我的排查隱患工作。
巡檢查殺首先，我明白自己要做的不是找到這個(gè)上傳的位置是哪里出現(xiàn)的，我應(yīng)該登上服務(wù)器進(jìn)行webshel查殺，進(jìn)行巡檢，找找看是否被別人入侵了，是否存在后門(mén)等等情況。雖然報(bào)的是我們公司的ip，萬(wàn)一漏掉了幾個(gè)webshell，被別人上傳成功了沒(méi)檢測(cè)出來(lái)，那服務(wù)器被入侵了如何能行。所以我上去巡檢了服務(wù)器，上傳這個(gè)webshell查殺工具進(jìn)行查殺，使用netstat-anpt和iptables-L判斷是否存在后門(mén)建立，查看是否有程序占用CPU，等等，此處不詳細(xì)展開(kāi)了。萬(wàn)幸的是服務(wù)器沒(méi)有被入侵，然后我開(kāi)始著手思考這個(gè)上傳點(diǎn)是怎么回事。
文檔上傳漏洞回顧首先，我向這個(gè)和我對(duì)接的研發(fā)人員咨詢這個(gè)服務(wù)器對(duì)外開(kāi)放的，要了之后打開(kāi)發(fā)現(xiàn)，眼熟的不就是前不久自己測(cè)試的嗎？此時(shí)，我感覺(jué)有點(diǎn)懵逼，和開(kāi)發(fā)人員對(duì)質(zhì)起這個(gè)整改信息，上次測(cè)試完發(fā)現(xiàn)這個(gè)上傳的地方是使用了白名單限制，只允許上傳jpeg、png等圖片格式了。當(dāng)時(shí)我還發(fā)現(xiàn)，這個(gè)雖然上傳是做了白名單限制，也對(duì)上傳的文檔名做了隨機(jī)數(shù)，還匹配了時(shí)間規(guī)則，但是我還是在返回包發(fā)現(xiàn)了這個(gè)上傳路徑和文檔名，這個(gè)和他提議要進(jìn)行整改，不然這個(gè)會(huì)造成這個(gè)文檔包含漏洞，他和我反饋這個(gè)確實(shí)進(jìn)行整改了，沒(méi)有返回這個(gè)路徑了。
SINE安全網(wǎng)站漏洞檢測(cè)時(shí)必須要人工去審計(jì)漏洞和查找漏洞找出問(wèn)題所在并修復(fù)漏洞，對(duì)各項(xiàng)功能都進(jìn)行了全面的安全檢測(cè)。
http://www.cxftmy.com