好，第三個的話就是對白盒測試，那么非常重要的一點就是你要知道如何去設(shè)計用例，如何去設(shè)計用例 好，設(shè)計用例的話，其實就是也就是你測試這個軟件的一個非常重要的邏輯思維這個東西。 因此就是說并不是說每個人都能夠隨隨便便去做一做一個很好的黑盒測試的工程師。
其實從開發(fā)的角度，如果要保證代碼至少在邏輯方面沒有明顯的漏洞，還是有些繁瑣的。舉個簡單的例子，如網(wǎng)站的數(shù)據(jù)檢驗功能，不允許前端提交不符合當(dāng)前要求規(guī)范的數(shù)據(jù)（比如年齡文本框部分不能提交字母）。那么為了實現(xiàn)這個功能，首先開發(fā)者肯定要在前端實現(xiàn)該功能，直接在前端阻止用戶提交不符規(guī)范的數(shù)據(jù)，否則用戶體驗會很差，且占用服務(wù)器端的資源。
但是沒有安全意識或覺得麻煩的開發(fā)者就會僅僅在前端用Js進行校驗，后端沒有重復(fù)進行校驗。這樣就很容易給惡意用戶機會：比如不通過前端頁面，直接向后端接口發(fā)送數(shù)據(jù)：或者，前端代碼編寫不規(guī)范，用戶可以直接在瀏覽器控制臺中用自己寫的Js代碼覆蓋原有的Js代碼；或者，用戶還可以直接在瀏覽器中禁用Js；等等?？傊?，前端的傳過來的數(shù)據(jù)可信度基本上可以認為比較低，太容易被利用了。
而我的思路都是很簡單的，就是關(guān)注比較重要的幾個節(jié)點，看看有沒有可乘之機。如登錄、權(quán)限判定、數(shù)據(jù)加載等前后，對方是怎么做的，用了什么樣的技術(shù)，有沒有留下很明顯的漏洞可以讓我利用。像這兩個網(wǎng)站，加載的Js文檔都沒有進行混淆，注釋也都留著，還寫得很詳細。比較湊巧的是，這兩個網(wǎng)站都用到了比較多的前端的技術(shù)，也都用到了sessionStorage。

多年以來，應(yīng)用程序設(shè)計總是優(yōu)先考慮功能性和可用性，很少考慮安全性。很多CISO表示，API安全性尤其不被重視，甚至完全被排除在安全設(shè)計流程之外。通常都是開發(fā)人員開發(fā)和部署完成后，在API投入生產(chǎn)且頻繁遭受攻擊后才亡羊補牢查找問題。安全性（包括API安全性）需要成為產(chǎn)品設(shè)計的一部分，并且應(yīng)作為首要考慮因素加以實現(xiàn)，而不是事后填坑。
解決方法：審查應(yīng)用程序的安全體系結(jié)構(gòu)是邁向安全系統(tǒng)的重要步。請記住，API使攻擊者能更地攻擊或利用您的系統(tǒng)。設(shè)計安全性的目標(biāo)是讓API成為用戶而非攻擊者的工具。以上只列舉了一些常見的API漏洞，總之，重要的是在軟件開發(fā)生命周期的早期階段就討論安全問題。微小的改進就可以帶來巨大的好處，避免API遭攻擊造成的巨大和損失。

討論回顧完上次整改的問題之后，理清了思路。然后我登錄了網(wǎng)站查看一下原因，因為網(wǎng)站只有一個上傳圖片的地方，我進行抓包嘗試，使用了repeater重放包之后，發(fā)現(xiàn)返回包確實沒有返回文檔上傳路徑，然后我又嘗試了各種繞過，結(jié)果都不行。后苦思冥想得不到結(jié)果，然后去問一下這個云平臺給他們提供的這個告警是什么原因。看了云平臺反饋的結(jié)果里面查殺到有圖片碼，這個問題不大，上傳文檔沒有執(zhí)行權(quán)限，而且沒有返回文檔路徑，還對文檔名做了隨機更改，但是為啥會有這個jsp上傳成功了，這讓我百思不得其解。
當(dāng)我仔細云平臺提供的發(fā)現(xiàn)webshel數(shù)據(jù)的時候，我細心的觀察到了文檔名使用了base編碼，這個我很疑惑，都做了隨機函數(shù)了還做編碼干嘛，上次測試的時候是沒有做編碼的。我突然想到了問題關(guān)鍵，然后使用burpsuite的decoder模塊，將文檔名“1jsp”做了base編碼成“MS5Kc1A=”，然后發(fā)送成功反饋狀態(tài)碼200，再不是這個上傳失敗反饋500狀態(tài)碼報錯了。
所以，這個問題所在是，在整改過程中研發(fā)人員對這個文檔名使用了base編碼，導(dǎo)致文檔名在存儲過程中會使用base解析，而我上傳文檔的時候?qū)⑦@個后綴名.jsp也做了這個base編碼，在存儲過程中.jsp也被成功解析，研發(fā)沒有對解析之后進行白名單限制。其實這種編碼的更改是不必要的，畢竟原來已經(jīng)做了隨機數(shù)更改了文檔名了，再做編碼有點畫蛇添足了，這就是為啥程序bug改一個引發(fā)更多的bug原因。

這在目前的互聯(lián)網(wǎng)環(huán)境下，很容易出現(xiàn)安全問題，比如被攻擊、被掛馬、被用戶數(shù)據(jù)等等，尤其是本身在代碼安全層面做的并不好的情況下，這種事件就更容易發(fā)生，再加上，這些中小企業(yè)普遍缺乏網(wǎng)絡(luò)安全投資和必要防護手段，抗擊打能力比較弱，一旦遭到網(wǎng)絡(luò)攻擊，蒙受巨大經(jīng)濟損失后將很難恢復(fù)元氣。
SINE安全網(wǎng)站漏洞檢測時必須要人工去審計漏洞和查找漏洞找出問題所在并修復(fù)漏洞，對各項功能都進行了全面的安全檢測。
http://www.cxftmy.com