關(guān)于黑盒測(cè)試中的業(yè)務(wù)功能安全測(cè)試，個(gè)如果說你是去做那種性比較強(qiáng)的這一種業(yè)務(wù)，比如說咱們的這一個(gè)銀行類的金融類的這些業(yè)務(wù)，那么它可能個(gè)要求就是你要有這個(gè)什么業(yè)務(wù)能力。 因?yàn)橛袝r(shí)候一些復(fù)雜的業(yè)務(wù)的話，并不是說如果說以前你沒做的話，他可能就光這個(gè)業(yè)務(wù)的培訓(xùn)那就要給你來個(gè)三個(gè)月或甚至半年的一個(gè)時(shí)間，因此說對(duì)于這一種業(yè)務(wù)能力要求比較高的這種項(xiàng)目或者企業(yè)里面去招人的話，他個(gè)看中或者說他有一個(gè)硬性的要求，就是說你有沒有做過相關(guān)的這一些產(chǎn)品，如果做過的話，這一類人員他是優(yōu)先的。
下面開始我們的整個(gè)滲透測(cè)試過程，首先客戶授權(quán)我們進(jìn)行網(wǎng)站安全測(cè)試，我們才能放開手的去干，首先檢測(cè)的是網(wǎng)站是否存在SQL注入漏洞，我們SINE安全在檢測(cè)網(wǎng)站是否有sql注入的時(shí)候都會(huì)配合查看mysql數(shù)據(jù)庫的日志來查詢我們提交的SQL語句是否成功的執(zhí)行，那么很多人會(huì)問該如何開啟數(shù)據(jù)庫的日志，如何查看呢？首先連接linux服務(wù)器的SSH端口，利用root的賬號(hào)密碼進(jìn)服務(wù)器，打開mysql的配置文件mysqld.cnf編輯general_log_file=（log日志的），general_log=1，在服務(wù)器里輸入tail -f （log），來查看實(shí)時(shí)的數(shù)據(jù)庫語句執(zhí)行日志。當(dāng)我們SINE安全技術(shù)在測(cè)試SQL注入漏洞的時(shí)候，就會(huì)實(shí)時(shí)的看到是否有惡意的SQL語句執(zhí)行成功，如果有那么數(shù)據(jù)庫日志就會(huì)出現(xiàn)錯(cuò)誤提示，在滲透測(cè)試中是很方便的，也更利于查找漏洞。

大多數(shù)開發(fā)人員沒有安全意識(shí)，其中軟件開發(fā)公司更嚴(yán)重。他們專注于實(shí)現(xiàn)客戶的需求，不考慮現(xiàn)在的代碼是否有安全上的危險(xiǎn)。在生產(chǎn)軟件的同時(shí)，也生產(chǎn)脆弱性，沒有任何軟件是的，沒有脆弱性。因此，建議網(wǎng)絡(luò)安全技術(shù)人員對(duì)代碼進(jìn)行安全審計(jì)，挖掘漏洞，避免風(fēng)險(xiǎn)。無論是大型軟件還是小型軟件，安全穩(wěn)定都是APP運(yùn)營(yíng)的標(biāo)準(zhǔn)。否則，即使是更好的商業(yè)模式也無法忍受網(wǎng)絡(luò)攻擊的推敲。大型軟件受到競(jìng)爭(zhēng)對(duì)手和黑產(chǎn)組織的威脅，小型軟件通過掃描式隨機(jī)攻擊侵入服務(wù)器，稍有疏忽的平臺(tái)被利用。

添加軟件防火墻
基于Web的防火墻解決方案可以監(jiān)視傳入連接并阻止可能具有威脅性的連接。管理防火墻是一項(xiàng)持續(xù)的活動(dòng)，必須確保打開正確的端口并允許在開放的互聯(lián)網(wǎng)上運(yùn)行，同時(shí)持續(xù)Web服務(wù)器訪問流量并根據(jù)網(wǎng)絡(luò)威脅級(jí)別實(shí)時(shí)調(diào)整防護(hù)策略。
維護(hù)備份策略
服務(wù)器備份對(duì)于保持安全至關(guān)重要。在代碼級(jí)別，數(shù)據(jù)應(yīng)通過配置系統(tǒng)進(jìn)行管理，隨時(shí)跟蹤每個(gè)更改并隨時(shí)間存儲(chǔ)版本記錄，如發(fā)現(xiàn)安全漏洞便可及時(shí)修補(bǔ)。在數(shù)據(jù)庫層，如果不是更頻繁，則應(yīng)至少每天記錄完整快照備份，具體取決于發(fā)生的更改和添加類型。另外保持備份副本安全也非常重要，佳做法是在云環(huán)境中保留一組備份，在本地辦公室的硬件上保留另一組備份。
使用HTTPS協(xié)議
HTTPS是以安全為目標(biāo)的HTTP通道，簡(jiǎn)單講是HTTP的安全版。HTTP下加入SSL層，是數(shù)據(jù)傳輸?shù)陌踩A(chǔ)。使用HTTPS協(xié)議，可以加密會(huì)員登錄的賬號(hào)密碼，進(jìn)而保護(hù)用戶隱私。

應(yīng)對(duì)措施：文檔上傳的繞過方法網(wǎng)上一搜有很多（比如upload-labs的各種方法、繞防火墻的各種方法（雖然很多已經(jīng)過時(shí)），可能還有些沒有公開的方法，總結(jié)一下：1.常規(guī)的繞過方法：文檔后綴（大小寫、文檔別名等等）、文檔名（文檔名加分號(hào)、引號(hào)等等）、文檔內(nèi)容（比如圖片馬）、請(qǐng)求包結(jié)構(gòu)等等。
2.結(jié)合服務(wù)器解析漏洞：IIS、apache、nginx的特定版本都有對(duì)應(yīng)的解析漏洞。3.利用文檔包含漏洞：如果有文檔包含漏洞，可以結(jié)合文檔包含漏洞，上傳馬。4.利用組件漏洞：如果知道組件版本和名稱，可以網(wǎng)上找一下相應(yīng)漏洞。注：手動(dòng)一個(gè)一個(gè)去試各種方法，的確很麻煩，可以試試burpsuit的上傳插件upload-scanner(但本人覺得并不好用）。
SINE安全網(wǎng)站漏洞檢測(cè)時(shí)必須要人工去審計(jì)漏洞和查找漏洞找出問題所在并修復(fù)漏洞，對(duì)各項(xiàng)功能都進(jìn)行了全面的安全檢測(cè)。
http://www.xh798.com