許多客戶在網(wǎng)站，以及APP上線的同時，都會提前的對網(wǎng)站進行全面的滲透測試以及安全檢測，提前檢測出存在的網(wǎng)站漏洞，以免后期網(wǎng)站發(fā)展過程中出現(xiàn)重大的經(jīng)濟損失，前段時間有客戶找到我們SINE安全公司做滲透測試服務，在此我們將把對客戶的整個滲透測試過程以及安全測試，發(fā)現(xiàn)的漏洞都記錄下來，分享給大家，也希望大家更深地去了解滲透測試。
這在目前的互聯(lián)網(wǎng)環(huán)境下，很容易出現(xiàn)安全問題，比如被攻擊、被掛馬、被用戶數(shù)據(jù)等等，尤其是本身在代碼安全層面做的并不好的情況下，這種事件就更容易發(fā)生，再加上，這些中小企業(yè)普遍缺乏網(wǎng)絡安全投資和必要防護手段，抗擊打能力比較弱，一旦遭到網(wǎng)絡攻擊，蒙受巨大經(jīng)濟損失后將很難恢復元氣。

添加軟件防火墻
基于Web的防火墻解決方案可以監(jiān)視傳入連接并阻止可能具有威脅性的連接。管理防火墻是一項持續(xù)的活動，必須確保打開正確的端口并允許在開放的互聯(lián)網(wǎng)上運行，同時持續(xù)Web服務器訪問流量并根據(jù)網(wǎng)絡威脅級別實時調(diào)整防護策略。
維護備份策略
服務器備份對于保持安全至關重要。在代碼級別，數(shù)據(jù)應通過配置系統(tǒng)進行管理，隨時跟蹤每個更改并隨時間存儲版本記錄，如發(fā)現(xiàn)安全漏洞便可及時修補。在數(shù)據(jù)庫層，如果不是更頻繁，則應至少每天記錄完整快照備份，具體取決于發(fā)生的更改和添加類型。另外保持備份副本安全也非常重要，佳做法是在云環(huán)境中保留一組備份，在本地辦公室的硬件上保留另一組備份。
使用HTTPS協(xié)議
HTTPS是以安全為目標的HTTP通道，簡單講是HTTP的安全版。HTTP下加入SSL層，是數(shù)據(jù)傳輸?shù)陌踩A。使用HTTPS協(xié)議，可以加密會員登錄的賬號密碼，進而保護用戶隱私。

大多數(shù)開發(fā)人員沒有安全意識，其中軟件開發(fā)公司更嚴重。他們專注于實現(xiàn)客戶的需求，不考慮現(xiàn)在的代碼是否有安全上的危險。在生產(chǎn)軟件的同時，也生產(chǎn)脆弱性，沒有任何軟件是的，沒有脆弱性。因此，建議網(wǎng)絡安全技術人員對代碼進行安全審計，挖掘漏洞，避免風險。無論是大型軟件還是小型軟件，安全穩(wěn)定都是APP運營的標準。否則，即使是更好的商業(yè)模式也無法忍受網(wǎng)絡攻擊的推敲。大型軟件受到競爭對手和黑產(chǎn)組織的威脅，小型軟件通過掃描式隨機攻擊侵入服務器，稍有疏忽的平臺被利用。

假如你是hack，準備攻擊一家企業(yè)，那么首先要做的件事就是識別盡可能多的API。我首先按常規(guī)方式使用目標應用程序，在瀏覽器中打開Web應用程序或者在手機端安裝移動應用程序，然后使用代理監(jiān)視通信。代理能夠捕獲瀏覽器或移動應用程序?qū)蠖薟eb服務器發(fā)出的所有請求，從而使攻擊者可以對所有可用的API端點進行分類。例如，大多數(shù)API都將API/V1/login作為身份驗證端點。
如果目標也是移動應用程序，則將應用程序包拆開，并查看應用程序內(nèi)部可用的API調(diào)用?？紤]到所有可能的活動，攻擊者可以搜索無確保護用戶數(shù)據(jù)的常見配置錯誤或API。后，攻擊者尋找API文檔。一些組織為第三方發(fā)布API文檔，但為所有用戶使用相同的API端點。有了一個不錯的端點清單，攻擊者就可以測試標準用戶行為和異常行為測試，可以通過兩種方法找到有趣的漏洞。
SINE安全網(wǎng)站漏洞檢測時必須要人工去審計漏洞和查找漏洞找出問題所在并修復漏洞，對各項功能都進行了全面的安全檢測。
http://www.cxftmy.com