雖然現(xiàn)在的網(wǎng)站安全防護技術(shù)已經(jīng)得到了很大的提升，但是相應(yīng)地，一些網(wǎng)站入侵技術(shù)也會不斷地升級、進化。如何建設(shè)網(wǎng)站，因此，企業(yè)在進行網(wǎng)站建設(shè)管理的時候，一定不可以輕視網(wǎng)站安全這一塊，建議企業(yè)周期性、長期性地用一些基本方法來檢測企業(yè)網(wǎng)站的安全性，確保網(wǎng)站順利、正常地運營下去。
中小企業(yè)資金匱乏，安全人員稀缺
在 50 人以下的小微企業(yè)中，高達 39.8%的企業(yè)沒有任何信息安全投入，50~100 人企業(yè)中，31.9%的企業(yè)沒有任何信息安全投入。因此，對于中小傳統(tǒng)企業(yè)用戶而言，本身并沒有過多的技術(shù)人員投入，往往等業(yè)務(wù)系統(tǒng)上線后，就很少關(guān)注線上問題。

編輯器漏洞
現(xiàn)在大多是后臺編輯，利用編輯器漏洞，繞過安全驗證，利用圖片上傳漏洞將木馬直接植入數(shù)據(jù)庫中。
解決方案：定期針對產(chǎn)品升級，安裝補丁程序。
空間安全性較差
你一個的空間，每年支付了幾百塊的費用，但長期沒有維護，很容易導(dǎo)致攻擊。今天，還遇到一個用戶來電話咨詢，說自已的每年給現(xiàn)在的網(wǎng)建公司支付壹仟元的空間費，現(xiàn)在公司每月推廣費用壹萬左右。問為什么還是打不開？是否可以請彩圣策劃來維護。聽到這我們的技術(shù)專員真的給嚇一跳，誰都知道空間流量限制，你說這樣的費用空間商能給你提供多大的流量呢？還好意思說自已在百度推廣。試問這樣的情況哪家企業(yè)可以耽誤得起？
解決方案：建議用戶趕緊換空間，同時加強和服務(wù)器安全維護。

現(xiàn)在移動互聯(lián)網(wǎng)的應(yīng)用復(fù)蓋了整個行業(yè)，其中也有很多投機家，他們的開發(fā)經(jīng)費不夠，想以的成本運營市場上的起爆產(chǎn)品，所以開始了APP解讀的想法。他們雇用，反譯APP，修改重要代碼和服務(wù)器的連接方式，重新包裝，簽字，生成與原創(chuàng)相同的應(yīng)用。然后向一些不正當(dāng)?shù)那拦贾\取利益。此外，還有一些黑色組織在應(yīng)用程序后添加惡意代碼，如獲取相冊數(shù)據(jù)、獲取地址簿和短信數(shù)據(jù)，以及技術(shù)銀行賬戶等敏感信息。解決方案:APP的標志是簽名，開發(fā)團隊和開發(fā)公司可以追加防止二次包裝的相關(guān)代碼，可以預(yù)防一些小毛賊。目前，國內(nèi)主流軟件分發(fā)平臺也對APP進行了識別，但由于疏忽，APP、木馬式APP蔓延開來。如果想以更的方式解讀APP的話，建議咨詢網(wǎng)站安全公司，加強APP本身的安全性，大幅度增加了編譯、調(diào)整和二次包裝的難易度。

討論回顧完上次整改的問題之后，理清了思路。然后我登錄了網(wǎng)站查看一下原因，因為網(wǎng)站只有一個上傳圖片的地方，我進行抓包嘗試，使用了repeater重放包之后，發(fā)現(xiàn)返回包確實沒有返回文檔上傳路徑，然后我又嘗試了各種繞過，結(jié)果都不行。后苦思冥想得不到結(jié)果，然后去問一下這個云平臺給他們提供的這個告警是什么原因?？戳嗽破脚_反饋的結(jié)果里面查殺到有圖片碼，這個問題不大，上傳文檔沒有執(zhí)行權(quán)限，而且沒有返回文檔路徑，還對文檔名做了隨機更改，但是為啥會有這個jsp上傳成功了，這讓我百思不得其解。
當(dāng)我仔細云平臺提供的發(fā)現(xiàn)webshel數(shù)據(jù)的時候，我細心的觀察到了文檔名使用了base編碼，這個我很疑惑，都做了隨機函數(shù)了還做編碼干嘛，上次測試的時候是沒有做編碼的。我突然想到了問題關(guān)鍵，然后使用burpsuite的decoder模塊，將文檔名“1jsp”做了base編碼成“MS5Kc1A=”，然后發(fā)送成功反饋狀態(tài)碼200，再不是這個上傳失敗反饋500狀態(tài)碼報錯了。
所以，這個問題所在是，在整改過程中研發(fā)人員對這個文檔名使用了base編碼，導(dǎo)致文檔名在存儲過程中會使用base解析，而我上傳文檔的時候?qū)⑦@個后綴名.jsp也做了這個base編碼，在存儲過程中.jsp也被成功解析，研發(fā)沒有對解析之后進行白名單限制。其實這種編碼的更改是不必要的，畢竟原來已經(jīng)做了隨機數(shù)更改了文檔名了，再做編碼有點畫蛇添足了，這就是為啥程序bug改一個引發(fā)更多的bug原因。
SINE安全網(wǎng)站漏洞檢測時必須要人工去審計漏洞和查找漏洞找出問題所在并修復(fù)漏洞，對各項功能都進行了全面的安全檢測。
http://www.cxftmy.com