關(guān)于黑盒測(cè)試中的業(yè)務(wù)功能安全測(cè)試，個(gè)如果說(shuō)你是去做那種性比較強(qiáng)的這一種業(yè)務(wù)，比如說(shuō)咱們的這一個(gè)銀行類(lèi)的金融類(lèi)的這些業(yè)務(wù)，那么它可能個(gè)要求就是你要有這個(gè)什么業(yè)務(wù)能力。 因?yàn)橛袝r(shí)候一些復(fù)雜的業(yè)務(wù)的話(huà)，并不是說(shuō)如果說(shuō)以前你沒(méi)做的話(huà)，他可能就光這個(gè)業(yè)務(wù)的培訓(xùn)那就要給你來(lái)個(gè)三個(gè)月或甚至半年的一個(gè)時(shí)間，因此說(shuō)對(duì)于這一種業(yè)務(wù)能力要求比較高的這種項(xiàng)目或者企業(yè)里面去招人的話(huà)，他個(gè)看中或者說(shuō)他有一個(gè)硬性的要求，就是說(shuō)你有沒(méi)有做過(guò)相關(guān)的這一些產(chǎn)品，如果做過(guò)的話(huà)，這一類(lèi)人員他是優(yōu)先的。
多年以來(lái)，應(yīng)用程序設(shè)計(jì)總是優(yōu)先考慮功能性和可用性，很少考慮安全性。很多CISO表示，API安全性尤其不被重視，甚至完全被排除在安全設(shè)計(jì)流程之外。通常都是開(kāi)發(fā)人員開(kāi)發(fā)和部署完成后，在API投入生產(chǎn)且頻繁遭受攻擊后才亡羊補(bǔ)牢查找問(wèn)題。安全性（包括API安全性）需要成為產(chǎn)品設(shè)計(jì)的一部分，并且應(yīng)作為首要考慮因素加以實(shí)現(xiàn)，而不是事后填坑。
解決方法：審查應(yīng)用程序的安全體系結(jié)構(gòu)是邁向安全系統(tǒng)的重要步。請(qǐng)記住，API使攻擊者能更地攻擊或利用您的系統(tǒng)。設(shè)計(jì)安全性的目標(biāo)是讓API成為用戶(hù)而非攻擊者的工具。以上只列舉了一些常見(jiàn)的API漏洞，總之，重要的是在軟件開(kāi)發(fā)生命周期的早期階段就討論安全問(wèn)題。微小的改進(jìn)就可以帶來(lái)巨大的好處，避免API遭攻擊造成的巨大和損失。

接下來(lái)還得檢測(cè)網(wǎng)站的各項(xiàng)功能以及APP功能是否存在邏輯漏洞，越權(quán)漏洞，水平垂直等等，我們SINE安全技術(shù)詳細(xì)的對(duì)每一個(gè)功能都測(cè)試很多遍，一次，兩次，多次的反復(fù)進(jìn)行，在用戶(hù)重置密碼功能這里發(fā)現(xiàn)有漏洞，正常功能代碼設(shè)計(jì)是這樣的流程，首先會(huì)判斷用戶(hù)的賬號(hào)是否存在，以及下一步用戶(hù)的是否與數(shù)據(jù)庫(kù)里的一致，這里簡(jiǎn)單地做了一下安全校驗(yàn)，但是在獲取驗(yàn)證碼的時(shí)候并沒(méi)有做安全校驗(yàn)，導(dǎo)致可以post數(shù)據(jù)包，將為任意來(lái)獲取驗(yàn)證碼，利用驗(yàn)證碼來(lái)重置密碼。

應(yīng)對(duì)措施：文檔上傳的繞過(guò)方法網(wǎng)上一搜有很多（比如upload-labs的各種方法、繞防火墻的各種方法（雖然很多已經(jīng)過(guò)時(shí)），可能還有些沒(méi)有公開(kāi)的方法，總結(jié)一下：1.常規(guī)的繞過(guò)方法：文檔后綴（大小寫(xiě)、文檔別名等等）、文檔名（文檔名加分號(hào)、引號(hào)等等）、文檔內(nèi)容（比如圖片馬）、請(qǐng)求包結(jié)構(gòu)等等。
2.結(jié)合服務(wù)器解析漏洞：IIS、apache、nginx的特定版本都有對(duì)應(yīng)的解析漏洞。3.利用文檔包含漏洞：如果有文檔包含漏洞，可以結(jié)合文檔包含漏洞，上傳馬。4.利用組件漏洞：如果知道組件版本和名稱(chēng)，可以網(wǎng)上找一下相應(yīng)漏洞。注：手動(dòng)一個(gè)一個(gè)去試各種方法，的確很麻煩，可以試試burpsuit的上傳插件upload-scanner(但本人覺(jué)得并不好用）。

滲透軟件。WebShell不可以應(yīng)用普通的木馬，連接端應(yīng)用加密數(shù)據(jù)流量，推薦 應(yīng)用蟻劍。不應(yīng)用默認(rèn)的冰，需要修改為硬密碼鑰。內(nèi)網(wǎng)滲透時(shí)盡可能應(yīng)用socks代理，在本地操作。上傳程序到目標(biāo)服務(wù)器時(shí)，需要修改文件名稱(chēng)，如svchost等，盡可能不上傳內(nèi)部自我研究軟件。透明化軟件需要去掉sqlmap、masscan、Beacon書(shū)等特征指紋。軟件需要設(shè)定線(xiàn)程或?yàn)g覽頻率。比如，sqlmap的-delay、網(wǎng)絡(luò)掃描時(shí)的線(xiàn)程在5以下。CobaltStrike上線(xiàn)后，設(shè)定clock.sleep600秒。手機(jī)郵件的認(rèn)證代碼需要應(yīng)用z-sms.com等在線(xiàn)平臺(tái)。socks代理通道需要應(yīng)用SSL加密。禁止在CS服務(wù)器上打開(kāi)網(wǎng)絡(luò)服務(wù)，尤其是home目錄。小范圍傳播的軟件推薦 各大微信群透明化，以免上傳后意外跟蹤，你正好是參加團(tuán)隊(duì)。
SINE安全網(wǎng)站漏洞檢測(cè)時(shí)必須要人工去審計(jì)漏洞和查找漏洞找出問(wèn)題所在并修復(fù)漏洞，對(duì)各項(xiàng)功能都進(jìn)行了全面的安全檢測(cè)。
http://www.cxftmy.com