網(wǎng)站安全滲透包括，SQL漏洞，cookies注入漏洞，文件上傳截斷漏洞，目錄遍歷漏洞，URL跳轉(zhuǎn)漏洞，在線編輯器漏洞，網(wǎng)站身份驗證過濾漏洞，PHP遠(yuǎn)程代碼執(zhí)行漏洞，數(shù)據(jù)庫暴庫漏洞，網(wǎng)站路徑漏洞，XSS跨站漏洞，默認(rèn)后臺及弱口令漏洞，任意文件漏洞，網(wǎng)站代碼遠(yuǎn)程溢出漏洞，任意賬號密碼漏洞，程序功能上的邏輯漏洞，任意次數(shù)短信發(fā)送、任意或郵箱注冊漏洞后臺或者api接口安全認(rèn)證繞過漏洞等等的安全滲透測試。
WAF的界定WAF(網(wǎng)站web運(yùn)用服務(wù)器防火墻)是根據(jù)實(shí)行一系列對于HTTP/HTTPS的安全策略來為Web運(yùn)用保護(hù)的一款安全防護(hù)產(chǎn)品。通俗化而言就是說WAF產(chǎn)品里融合了一定的檢測標(biāo)準(zhǔn)，會對每一請求的內(nèi)容依據(jù)轉(zhuǎn)化成的標(biāo)準(zhǔn)開展檢測并對不符安全標(biāo)準(zhǔn)的做出相匹配的防御解決，進(jìn)而確保Web運(yùn)用的安全性與合理合法。

2020年11月中旬，我們SINE安全收到客戶的安全求助，說是網(wǎng)站被攻擊打不開了，隨即對其進(jìn)行了分析了導(dǎo)致網(wǎng)站被攻擊的通常情況下因素分外部攻擊和內(nèi)部攻擊兩類，外部網(wǎng)站被攻擊的因素，網(wǎng)站外部攻擊通常情況下都是DDoS攻擊。DDoS攻擊的手法通常情況下都是通過大批量模擬正常用戶的手法去GET請求占據(jù)網(wǎng)站服務(wù)器的大量的網(wǎng)絡(luò)帶寬資源，以實(shí)現(xiàn)堵塞癱瘓無法打開網(wǎng)站的目的，它的攻擊方式通常情況下都是通過向服務(wù)器提交大量的的請求如TCP請求或SYN請求，使服務(wù)器無法承載這么多的請求包，導(dǎo)致用戶瀏覽服務(wù)器和某服務(wù)的通訊無常連接。

在這里我跟大家分享一下關(guān)于服務(wù)器安全的知識點(diǎn)經(jīng)驗，雖說我很早以前想過要搞hack技術(shù)，然而由于種種原因我后都沒有搞hack技術(shù)，但是我一直很留意服務(wù)器安全領(lǐng)域的。很早以前我搭建服務(wù)器只是為了測驗我所學(xué)的知識點(diǎn)，安全沒有怎么留意，服務(wù)器一直以來被各種攻擊，我那時候也沒怎么留意，之后我一直真真正正去使用服務(wù)器去搭建正式的網(wǎng)站了，才覺得安全性問題的緊迫性。當(dāng)時服務(wù)器買的比較早，web環(huán)境用的study是相信大家對此環(huán)境都不陌生，相對比較便捷都是一鍵智能化的搭建，一開始會有默認(rèn)設(shè)置的界面，提示你配置成功了，事實(shí)上這種只是一個測驗界面，有許多比較敏感的數(shù)據(jù)信息和許多可以注入的漏洞，不管是iis還是tomcat這種一定要短時間內(nèi)把默認(rèn)設(shè)置界面掉。

第二步，用戶必須要連接可以信賴的互聯(lián)網(wǎng)當(dāng)您需要登陸到網(wǎng)絡(luò)服務(wù)器或Web網(wǎng)站來管理網(wǎng)站或瀏覽其他安全性資源時，一定要鏈接到安全性互聯(lián)網(wǎng)。您必須防止鏈接到安全系數(shù)不太高的、不確定性或安全系數(shù)較弱的互聯(lián)網(wǎng)(比如不明的對外開放無線接入點(diǎn))。假如一定要瀏覽Web網(wǎng)站或Web網(wǎng)絡(luò)服務(wù)器才可以鏈接到不安全性的互聯(lián)網(wǎng)網(wǎng)站，應(yīng)用安全代理IP訪問能夠防止網(wǎng)站安全問題。應(yīng)用安全代理以后，能夠依靠安全代理服務(wù)器鏈接安全性資源。
安全評估報告 
· 根據(jù)不同的滲透測試結(jié)果，形成一套完整的安全報告。報告出所發(fā)現(xiàn)的漏洞以及修復(fù)方案。
· 根據(jù)發(fā)現(xiàn)的漏洞，分三個風(fēng)險級別，高危，中等，低危三個等級。 
· 我們不做攻擊，在洽談合作時,需要提供網(wǎng)站和服務(wù)器的所有權(quán)。
http://www.cxftmy.com