關(guān)于黑盒測試中的業(yè)務(wù)功能安全測試，個如果說你是去做那種性比較強(qiáng)的這一種業(yè)務(wù)，比如說咱們的這一個銀行類的金融類的這些業(yè)務(wù)，那么它可能個要求就是你要有這個什么業(yè)務(wù)能力。 因?yàn)橛袝r候一些復(fù)雜的業(yè)務(wù)的話，并不是說如果說以前你沒做的話，他可能就光這個業(yè)務(wù)的培訓(xùn)那就要給你來個三個月或甚至半年的一個時間，因此說對于這一種業(yè)務(wù)能力要求比較高的這種項(xiàng)目或者企業(yè)里面去招人的話，他個看中或者說他有一個硬性的要求，就是說你有沒有做過相關(guān)的這一些產(chǎn)品，如果做過的話，這一類人員他是優(yōu)先的。
接下來還得檢測網(wǎng)站的各項(xiàng)功能以及APP功能是否存在邏輯漏洞，越權(quán)漏洞，水平垂直等等，我們SINE安全技術(shù)詳細(xì)的對每一個功能都測試很多遍，一次，兩次，多次的反復(fù)進(jìn)行，在用戶重置密碼功能這里發(fā)現(xiàn)有漏洞，正常功能代碼設(shè)計(jì)是這樣的流程，首先會判斷用戶的賬號是否存在，以及下一步用戶的是否與數(shù)據(jù)庫里的一致，這里簡單地做了一下安全校驗(yàn)，但是在獲取驗(yàn)證碼的時候并沒有做安全校驗(yàn)，導(dǎo)致可以post數(shù)據(jù)包，將為任意來獲取驗(yàn)證碼，利用驗(yàn)證碼來重置密碼。

中小企業(yè)安全防護(hù)薄弱，抗擊打能力不強(qiáng)
據(jù)相關(guān)數(shù)據(jù)顯示，超過 90%的企業(yè)完全或高度依靠互聯(lián)網(wǎng)開展業(yè)務(wù)，科技/互聯(lián)網(wǎng)、金融、電信是對互聯(lián)網(wǎng)依存度高的行業(yè)，而其中創(chuàng)業(yè)型小微企業(yè)（50 人以內(nèi)）更甚，互聯(lián)網(wǎng)成為這些類型企業(yè)發(fā)展的重要根基。而這些企業(yè)，并沒有的技術(shù)團(tuán)隊(duì)運(yùn)維，往往是交給建站公司管理，或自己租用個主機(jī)就發(fā)布。

修改后臺初始密碼
每個都有一個后臺賬戶，用于日常的維護(hù)更新，而很多后臺初始密碼都過于簡單，在拿到后臺管理賬號密碼時，要先把初始密碼修改掉，帳號密碼要有一定的復(fù)雜度，不要使用域名、年份、姓名、純數(shù)字等元素，要知道密碼越好記也就意味著越容易被攻破。

滲透測試其實(shí)就是一個攻防對抗的過程，所謂知己知彼，才能百戰(zhàn)百勝。如今的網(wǎng)站基本都有防護(hù)措施，大企業(yè)或大單位因?yàn)榫W(wǎng)站眾多，一般都會選擇大型防火墻作為保護(hù)措施，比如深信服、天融信等等，小單位或單個網(wǎng)站通常會選擇D盾、安全狗或開源的安全軟件作為保護(hù)措施，一些常見的開源waf有：OpenResty、ModSecurity、NAXSI、WebKnight、ShadowDaemon等等。
當(dāng)然，服務(wù)器沒裝防護(hù)的的網(wǎng)站還是有的。而這些防護(hù)措施都有對常見漏洞的防御措施，所以在實(shí)際的漏洞挖掘和利用過程中必須考慮這些問題，如何確定防護(hù)措施，如何對抗防護(hù)措施。web常見漏洞一直是變化的，隔一段時間就會有新的漏洞被發(fā)現(xiàn)，但實(shí)戰(zhàn)中被利用的漏洞其實(shí)就那么幾個，就像編程語言一樣，穩(wěn)坐前三的永遠(yuǎn)是c、c++。
SINE安全網(wǎng)站漏洞檢測時必須要人工去審計(jì)漏洞和查找漏洞找出問題所在并修復(fù)漏洞，對各項(xiàng)功能都進(jìn)行了全面的安全檢測。
http://www.cxftmy.com