SINE安全對網(wǎng)站漏洞檢測具有的安全技術(shù)人員，而且完全不依靠軟件去掃描，所有漏洞檢測服務(wù)都是由我們?nèi)斯とz測，比如對代碼進(jìn)行審計(jì)，以及都每個(gè)網(wǎng)站或APP的功能進(jìn)行單的詳細(xì)測試，如跨權(quán)限漏洞，支付漏洞繞過，訂單價(jià)格被篡改，或訂單支付狀態(tài)之類的，或會員找回密碼這里被強(qiáng)制找回等，還有一些邏輯漏洞，上傳漏洞，垂直權(quán)限漏洞等等。
以盜幣為主要目的的攻擊并非個(gè)例，隨著以為代表的數(shù)字的盛行，世界各地的交易中心成為了攻擊的一個(gè)新目標(biāo)，頻頻爆出遭遇的攻擊，用戶賬戶被盜、用戶數(shù)據(jù)泄露、損失慘重等事件。

結(jié)合挖掘出敏感信息和加密算法，通常通過APP客戶端和服務(wù)器通信進(jìn)行滲透攻擊，常見的通信方式有HTTP、Socket、WebSocket等，有這些重要信息后，客戶端指紋由于開發(fā)商缺乏安全意識，服務(wù)器和數(shù)據(jù)庫陷落，給客戶帶來了不可估量的損失。解決方案:做好服務(wù)器安全信任認(rèn)證，提高開發(fā)人員的安全意識，讓我們的創(chuàng)造性安全進(jìn)行安全評價(jià)和長期安全運(yùn)輸，防止未來是的保護(hù)，如果想要對公司或自己的安卓APP或IOS-APP進(jìn)行全面的安全滲透測試，檢測APP的安全性的話可以向SINESAFE,鷹盾安全，綠盟，大樹安全等等尋求這方面的服務(wù)，畢竟術(shù)業(yè)有專攻

討論回顧完上次整改的問題之后，理清了思路。然后我登錄了網(wǎng)站查看一下原因，因?yàn)榫W(wǎng)站只有一個(gè)上傳圖片的地方，我進(jìn)行抓包嘗試，使用了repeater重放包之后，發(fā)現(xiàn)返回包確實(shí)沒有返回文檔上傳路徑，然后我又嘗試了各種繞過，結(jié)果都不行。后苦思冥想得不到結(jié)果，然后去問一下這個(gè)云平臺給他們提供的這個(gè)告警是什么原因?？戳嗽破脚_反饋的結(jié)果里面查殺到有圖片碼，這個(gè)問題不大，上傳文檔沒有執(zhí)行權(quán)限，而且沒有返回文檔路徑，還對文檔名做了隨機(jī)更改，但是為啥會有這個(gè)jsp上傳成功了，這讓我百思不得其解。
當(dāng)我仔細(xì)云平臺提供的發(fā)現(xiàn)webshel數(shù)據(jù)的時(shí)候，我細(xì)心的觀察到了文檔名使用了base編碼，這個(gè)我很疑惑，都做了隨機(jī)函數(shù)了還做編碼干嘛，上次測試的時(shí)候是沒有做編碼的。我突然想到了問題關(guān)鍵，然后使用burpsuite的decoder模塊，將文檔名“1jsp”做了base編碼成“MS5Kc1A=”，然后發(fā)送成功反饋狀態(tài)碼200，再不是這個(gè)上傳失敗反饋500狀態(tài)碼報(bào)錯(cuò)了。
所以，這個(gè)問題所在是，在整改過程中研發(fā)人員對這個(gè)文檔名使用了base編碼，導(dǎo)致文檔名在存儲過程中會使用base解析，而我上傳文檔的時(shí)候?qū)⑦@個(gè)后綴名.jsp也做了這個(gè)base編碼，在存儲過程中.jsp也被成功解析，研發(fā)沒有對解析之后進(jìn)行白名單限制。其實(shí)這種編碼的更改是不必要的，畢竟原來已經(jīng)做了隨機(jī)數(shù)更改了文檔名了，再做編碼有點(diǎn)畫蛇添足了，這就是為啥程序bug改一個(gè)引發(fā)更多的bug原因。

啟動(dòng)一個(gè)新是一個(gè)令人興奮的項(xiàng)目，充滿了許多重要的步驟和決定。但是，作為的所有者，您不僅要處理被入侵的后果，還要對其頁面上的內(nèi)容以及人們用來與之交互的機(jī)制負(fù)責(zé)。如果您計(jì)劃存儲用戶信息（例如密碼或電話號碼），則必須妥善保護(hù)這些數(shù)據(jù)，否則根據(jù)某些法律，您可能會因數(shù)據(jù)泄露事件而受到罰款。
選擇可靠的主機(jī)服務(wù)商
在互聯(lián)網(wǎng)發(fā)展的早期，個(gè)人和公司將在本地化的數(shù)據(jù)中心或辦公室中獲取和維護(hù)自己的服務(wù)器，而云計(jì)算從根本上轉(zhuǎn)變了這種模式，大多數(shù)的現(xiàn)在都是通過第三方提供商托管。云計(jì)算降低了所有者的管理成本和責(zé)任，也帶來了一些安全問題。如提供商遭受數(shù)據(jù)泄露或整個(gè)數(shù)據(jù)中心出現(xiàn)故障，您的可能會丟失重要信息，因此，選擇一個(gè)可靠的主機(jī)服務(wù)商至關(guān)重要。
SINE安全網(wǎng)站漏洞檢測時(shí)必須要人工去審計(jì)漏洞和查找漏洞找出問題所在并修復(fù)漏洞，對各項(xiàng)功能都進(jìn)行了全面的安全檢測。
http://www.cxftmy.com