好，第二個的話，就是咱們去做功能測試的話，你要知道你我們經(jīng)常做的一些測試的策略有哪一些，然后你是從哪些角度去做這一些測試策略的比如說這些測試策略的話有咱們的功能測試，然后 UI 兼容性測試、穩(wěn)定性測試，那這些東西你如何去做你是如何去實施的，你會從哪些角度去測試，這個也是做做咱們黑盒測試必須要掌握的一個。
編輯器漏洞
現(xiàn)在大多是后臺編輯，利用編輯器漏洞，繞過安全驗證，利用圖片上傳漏洞將木馬直接植入數(shù)據(jù)庫中。
解決方案：定期針對產(chǎn)品升級，安裝補丁程序。
空間安全性較差
你一個的空間，每年支付了幾百塊的費用，但長期沒有維護，很容易導致攻擊。今天，還遇到一個用戶來電話咨詢，說自已的每年給現(xiàn)在的網(wǎng)建公司支付壹仟元的空間費，現(xiàn)在公司每月推廣費用壹萬左右。問為什么還是打不開？是否可以請彩圣策劃來維護。聽到這我們的技術專員真的給嚇一跳，誰都知道空間流量限制，你說這樣的費用空間商能給你提供多大的流量呢？還好意思說自已在百度推廣。試問這樣的情況哪家企業(yè)可以耽誤得起？
解決方案：建議用戶趕緊換空間，同時加強和服務器安全維護。

在之前的一系列文章中，我們主要講了內網(wǎng)滲透的一些知識，而在現(xiàn)實中，要進行內網(wǎng)滲透，一個很重要的前提便是：你得能進入內網(wǎng)??！所以，從這篇文章開始，我們將開啟Web滲透的學習（內網(wǎng)滲透系列還會繼續(xù)長期更新哦）。滲透測試，是滲透測試完全模擬hack可能使用的攻擊技術和漏洞發(fā)現(xiàn)技術，對目標網(wǎng)絡、主機、應用的安全作深入的探測，幫助企業(yè)挖掘出正常業(yè)務流程中的安全缺陷和漏洞，助力企業(yè)先于hack發(fā)現(xiàn)安全風險，防患于未然。
Web應用的滲透測試流程主要分為3個階段，分別是：信息收集→漏洞發(fā)現(xiàn)→漏洞利用。本文我們將對信息收集這一環(huán)節(jié)做一個基本的講解。信息收集介紹進行web滲透測試之前，重要的一步那就是就是信息收集了，俗話說“滲透的本質也就是信息收集”，信息收集的深度，直接關系到滲透測試的成敗。打好信息收集這一基礎可以讓測試者選擇合適和準確的滲透測試攻擊方式，縮短滲透測試的時間。一般來說收集的信息越多越好，通常包括以下幾個部分：

那如果說我我把這個計算器這個軟件給到你，然后我跟你說，你把這個計算機上面所有的功能給我測一遍，確保它的功能是沒有問題的，沒有問題之后，我們就可以把這個軟件去給用戶進行交付了。 如果大家想要對自己的網(wǎng)站或APP進行黑盒功能測試的話可以向網(wǎng)站安全公司尋求服務，國內SINESAFE,鷹盾安全，綠盟，啟明星辰，都是做的比較好的安全公司。

在對前端輸入過來的值進行安全判斷，確認變量值是否存在，如果存在將不會覆蓋，杜絕變量覆蓋導致?lián)饺霅阂鈽嬙斓膕ql注入語句代碼在GET請求，以及POST請求里，過濾非法字符的輸入。 '分號過濾 --過濾 %20字符過濾，單引號過濾，%百分號， and過濾，tab鍵值等的的安全過濾。如果對代碼不是太懂的話，也可以找網(wǎng)站安全公司來處理，國內SINESAFE,啟明星辰，綠盟都是比較的。邏輯漏洞的修復辦法，對密碼找回功能頁面進行安全校驗，檢查所屬賬號的身份是否是當前的，如果不是不能發(fā)送驗證碼，其實就是代碼功能的邏輯設計出了問題，邏輯理順清楚了，就很容易的修復漏洞，也希望我們SINE安全分享的這次滲透測試過程能讓更多的人了解滲透測試，安全防患于未然。
SINE安全網(wǎng)站漏洞檢測時必須要人工去審計漏洞和查找漏洞找出問題所在并修復漏洞，對各項功能都進行了全面的安全檢測。
http://www.cxftmy.com