好，第二個的話，就是咱們去做功能測試的話，你要知道你我們經常做的一些測試的策略有哪一些，然后你是從哪些角度去做這一些測試策略的比如說這些測試策略的話有咱們的功能測試，然后 UI 兼容性測試、穩定性測試，那這些東西你如何去做你是如何去實施的，你會從哪些角度去測試，這個也是做做咱們黑盒測試必須要掌握的一個。
在對客戶的網站進行服務的同時，我們首先要了解分析數據包以及網站的各項功能，有助于我們在滲透測試中發現漏洞，修復漏洞，綜合客戶網站的架構，規模，以及數據庫類型，使用的服務器系統，是windows還是linux，前期都要收集信息，做到知彼知己百戰不殆。只有真正的了解了網站，才能一層一層地找出漏洞所在。網站使用的是php語言開發，采用是mysql數據庫，客戶服務器用的是linux centos系統，用phpstudy一鍵環境搭建，PHP的版本是5.5，mysql數據庫版本是5.6.客戶網站是一個平臺，采用會員登錄，功能基本都是一些交互性的，會員資料，添加，與，在線反饋等等。

近年來，各類頻繁遭受攻擊致使網絡癱瘓、內容被篡改，商業機密和用戶隱私被取，使經營者和用戶都損失慘重。電商和服務一直是網絡攻擊的重災區，京東、當當網都曾遭受過攻擊，造成直接經濟損失。
為什么愛找你的麻煩？
試想當你的客戶訪問你的出現這樣的情況，不僅浪費優化推廣費用和人力成本，還有可能對你的企業口碑以及造成惡劣的影響！再被一次次打擊的情況下，我們不禁要問：為什么愛找你的麻煩？
程序本身存在漏洞
很多企業的是在網上下載的開源代碼，或隨便找網建公司開發的，程序本身就存在漏洞風險。試想一下，你花請幾百或幾千元做的東西，兩天就出來了。是菜場買白菜嗎？安全能提高到哪里去？
解決方案：發現問題查找問題原因，組織技術團隊進行排查分析。

近，攻擊者接管賬戶的嘗試在不斷增加。錯誤消息過于“詳細周到”，往往使此類攻擊更加容易。冗長的錯誤消息會引導攻擊者了解他們需要進行哪些更改才能偽裝成合法請求。API專為低負載下的高速交易而設計，使攻擊者可以使用高性能系統找出有效賬戶，然后嘗試登錄并更改密碼進行利用。解決方法：不要拿用戶體驗作為擋牌，有些看起來有利于用戶體驗的做法，未必有利于安全性。系統返回的錯誤信息不應該包括錯誤的用戶名或錯誤的密碼，甚至不能包含錯誤信息的類別（用戶名還是密碼錯誤）。用于查詢數據的錯誤消息也是如此，如果查詢/搜索格式不正確或由于某種原因而無法執行，則應該返回“沒有營養”的錯誤信息：“糟糕，哪里出錯了”。

當攻擊者通過API調用遍歷攻擊系統時，他們必須弄清楚可以發送些什么來獲取數據。攻擊者“信奉”這樣的一個事實：即越復雜的系統，出錯的地方越多。攻擊者識別出API后，他們將對參數進行分類，然后嘗試訪問管理員（垂直特權升級）或另一個用戶（水平特權升級）的數據以收集其他數據。通常，太多不必要的參數被暴露給了用戶。
在近的研究項目中，我們對目標服務的API調用返回了大量數據，很多都是不必要的數據信息，例如付款網關的處理器密鑰和可用的折扣信息等。這些“獎勵信息”使攻擊者可以更好地理解這些API調用的上下文和語法。攻擊者不需要太多的想象力就能弄清楚下一步該怎么做。這些額外的參數為攻擊者提供了豐富的攻擊數據集。解決方法：如果將用戶看到的內容范圍限制為必需內容，限制關鍵數據的傳輸，并使數據查詢結構未知，那么攻擊者就很難對他們知道的參數進行爆密。
SINE安全網站漏洞檢測時必須要人工去審計漏洞和查找漏洞找出問題所在并修復漏洞，對各項功能都進行了全面的安全檢測。
http://4koz.com