許多客戶在網(wǎng)站，以及APP上線的同時(shí)，都會(huì)提前的對(duì)網(wǎng)站進(jìn)行全面的滲透測(cè)試以及安全檢測(cè)，提前檢測(cè)出存在的網(wǎng)站漏洞，以免后期網(wǎng)站發(fā)展過(guò)程中出現(xiàn)重大的經(jīng)濟(jì)損失，前段時(shí)間有客戶找到我們SINE安全公司做滲透測(cè)試服務(wù)，在此我們將把對(duì)客戶的整個(gè)滲透測(cè)試過(guò)程以及安全測(cè)試，發(fā)現(xiàn)的漏洞都記錄下來(lái)，分享給大家，也希望大家更深地去了解滲透測(cè)試。
我們SINE安全在進(jìn)行Web滲透測(cè)試中網(wǎng)站漏洞利用率的前五個(gè)漏洞。常見漏洞包括注入漏洞、文件上傳漏洞、文件包含漏洞、命令執(zhí)行漏洞、代碼執(zhí)行漏洞、跨站點(diǎn)腳本(XSS)漏洞、SSRF漏洞、XML外部實(shí)體(XXE)漏洞、反序列化漏洞、解析漏洞等。，因?yàn)檫@些安全漏洞可能被利用，從而影響業(yè)務(wù)。以下每一條路線都是一種安全風(fēng)險(xiǎn)。可以通過(guò)一系列的攻擊手段發(fā)現(xiàn)目標(biāo)的安全弱點(diǎn)。如果安全漏洞被成功利用，目標(biāo)將被控制，威脅目標(biāo)資產(chǎn)或正常功能的使用，終導(dǎo)致業(yè)務(wù)受到影響。

接下來(lái)還得檢測(cè)網(wǎng)站的各項(xiàng)功能以及APP功能是否存在邏輯漏洞，越權(quán)漏洞，水平垂直等等，我們SINE安全技術(shù)詳細(xì)的對(duì)每一個(gè)功能都測(cè)試很多遍，一次，兩次，多次的反復(fù)進(jìn)行，在用戶重置密碼功能這里發(fā)現(xiàn)有漏洞，正常功能代碼設(shè)計(jì)是這樣的流程，首先會(huì)判斷用戶的賬號(hào)是否存在，以及下一步用戶的是否與數(shù)據(jù)庫(kù)里的一致，這里簡(jiǎn)單地做了一下安全校驗(yàn)，但是在獲取驗(yàn)證碼的時(shí)候并沒(méi)有做安全校驗(yàn)，導(dǎo)致可以post數(shù)據(jù)包，將為任意來(lái)獲取驗(yàn)證碼，利用驗(yàn)證碼來(lái)重置密碼。

文件包含漏洞。文件包含函數(shù)中包含的文件參數(shù)沒(méi)有過(guò)濾或嚴(yán)格定義，參數(shù)可以由用戶控制，可能包含意外文件。如果文件中存在惡意代碼，無(wú)論文件是什么后綴類型，文件中的惡意代碼都會(huì)被解析執(zhí)行，導(dǎo)致文件包含漏洞。文件中包含的漏洞可能會(huì)造成網(wǎng)頁(yè)修改、網(wǎng)站暫停、服務(wù)器遠(yuǎn)程控制、后門安裝等危害。

攻擊產(chǎn)業(yè)鏈成熟，攻擊成本極低
目前黑產(chǎn)產(chǎn)業(yè)愈發(fā)成熟，發(fā)起一次網(wǎng)絡(luò)攻擊或入侵的代價(jià)變得非常低廉，如果你在網(wǎng)上搜一搜，就會(huì)發(fā)現(xiàn)，僅需花費(fèi)數(shù)十元，便可以購(gòu)買 50M 的日攻擊服務(wù)。如果包月，費(fèi)用更低，即花費(fèi) 500 元就可以攻擊一個(gè)中小企業(yè)長(zhǎng)達(dá)一個(gè)月。這樣一來(lái)，企業(yè)將面臨的不但是要在應(yīng)用架構(gòu)上花重金配置的安全防護(hù)類產(chǎn)品，還需要在安全防護(hù)方面投入運(yùn)維人力，中小企業(yè)根本無(wú)力承擔(dān)，安全成為中小企業(yè)無(wú)法承受之重。
SINE安全網(wǎng)站漏洞檢測(cè)時(shí)必須要人工去審計(jì)漏洞和查找漏洞找出問(wèn)題所在并修復(fù)漏洞，對(duì)各項(xiàng)功能都進(jìn)行了全面的安全檢測(cè)。
http://4koz.com