好，第三個的話就是對白盒測試，那么非常重要的一點就是你要知道如何去設(shè)計用例，如何去設(shè)計用例 好，設(shè)計用例的話，其實就是也就是你測試這個軟件的一個非常重要的邏輯思維這個東西。 因此就是說并不是說每個人都能夠隨隨便便去做一做一個很好的黑盒測試的工程師。
假如你是hack，準備攻擊一家企業(yè)，那么首先要做的件事就是識別盡可能多的API。我首先按常規(guī)方式使用目標應(yīng)用程序，在瀏覽器中打開Web應(yīng)用程序或者在手機端安裝移動應(yīng)用程序，然后使用代理監(jiān)視通信。代理能夠捕獲瀏覽器或移動應(yīng)用程序?qū)蠖薟eb服務(wù)器發(fā)出的所有請求，從而使攻擊者可以對所有可用的API端點進行分類。例如，大多數(shù)API都將API/V1/login作為身份驗證端點。
如果目標也是移動應(yīng)用程序，則將應(yīng)用程序包拆開，并查看應(yīng)用程序內(nèi)部可用的API調(diào)用?？紤]到所有可能的活動，攻擊者可以搜索無確保護用戶數(shù)據(jù)的常見配置錯誤或API。后，攻擊者尋找API文檔。一些組織為第三方發(fā)布API文檔，但為所有用戶使用相同的API端點。有了一個不錯的端點清單，攻擊者就可以測試標準用戶行為和異常行為測試，可以通過兩種方法找到有趣的漏洞。

1.注入漏洞。由于其普遍性和嚴重性，注入漏洞在Web0漏洞中始終排在位。常見的注入漏洞包括SQL、LDAP、OS命令、ORM和OGNL。用戶可以通過任何輸入點輸入構(gòu)建的惡意代碼。如果應(yīng)用程序沒有嚴格過濾用戶的輸入，一旦輸入的惡意代碼作為命令或查詢的一部分被發(fā)送到解析器，就可能導(dǎo)致注入漏洞。以SQL注入為例，是因為攻擊者通過瀏覽器或其他客戶端向網(wǎng)站參數(shù)中插入惡意SQL語句，而網(wǎng)站應(yīng)用程序直接將惡意SQL語句帶入數(shù)據(jù)庫并執(zhí)行而不進行過濾，終導(dǎo)致通過數(shù)據(jù)庫獲取敏感信息或其他惡意操作。

同樣地，由于可用的參數(shù)太多，收集數(shù)據(jù)將成為顯而易見的下一步行動。許多企業(yè)的系統(tǒng)支持匿名連接，并且傾向泄漏普通用戶不需要的額外數(shù)據(jù)。另外，許多企業(yè)傾向于存儲可以直接訪問的數(shù)據(jù)。安全人員正在努力應(yīng)對API請求經(jīng)常暴露數(shù)據(jù)存儲位置的挑戰(zhàn)。例如，當我查看安全攝像機中的視頻時，可以看到該信息來自AmazonS3存儲庫。通常，那些S3存儲庫的保護并不周全，任何人的數(shù)據(jù)都可以被檢索。
另一個常見的數(shù)據(jù)挑戰(zhàn)是數(shù)據(jù)過載，很多企業(yè)都像入冬前的花栗鼠，存儲的數(shù)據(jù)量遠遠超出了需要。很多過期用戶數(shù)據(jù)已經(jīng)沒有商業(yè)價值和保存價值，但是如果發(fā)生泄密，則會給企業(yè)帶來巨大的和合規(guī)風險。解決方法：對于存儲用戶數(shù)據(jù)的企業(yè)，不僅僅是PII或PHI，都必須進行徹底的數(shù)據(jù)審查。在檢查了存儲的數(shù)據(jù)之后，應(yīng)制定數(shù)據(jù)訪問規(guī)則并進行測試。確保能夠匿名訪問的數(shù)據(jù)不涉及任何敏感數(shù)據(jù)。

應(yīng)對措施：文檔上傳的繞過方法網(wǎng)上一搜有很多（比如upload-labs的各種方法、繞防火墻的各種方法（雖然很多已經(jīng)過時），可能還有些沒有公開的方法，總結(jié)一下：1.常規(guī)的繞過方法：文檔后綴（大小寫、文檔別名等等）、文檔名（文檔名加分號、引號等等）、文檔內(nèi)容（比如圖片馬）、請求包結(jié)構(gòu)等等。
2.結(jié)合服務(wù)器解析漏洞：IIS、apache、nginx的特定版本都有對應(yīng)的解析漏洞。3.利用文檔包含漏洞：如果有文檔包含漏洞，可以結(jié)合文檔包含漏洞，上傳馬。4.利用組件漏洞：如果知道組件版本和名稱，可以網(wǎng)上找一下相應(yīng)漏洞。注：手動一個一個去試各種方法，的確很麻煩，可以試試burpsuit的上傳插件upload-scanner(但本人覺得并不好用）。
SINE安全網(wǎng)站漏洞檢測時必須要人工去審計漏洞和查找漏洞找出問題所在并修復(fù)漏洞，對各項功能都進行了全面的安全檢測。
http://www.cxftmy.com