好，第三個的話就是對白盒測試，那么非常重要的一點就是你要知道如何去設計用例，如何去設計用例 好，設計用例的話，其實就是也就是你測試這個軟件的一個非常重要的邏輯思維這個東西。 因此就是說并不是說每個人都能夠隨隨便便去做一做一個很好的黑盒測試的工程師。
這在目前的互聯網環境下，很容易出現安全問題，比如被攻擊、被掛馬、被用戶數據等等，尤其是本身在代碼安全層面做的并不好的情況下，這種事件就更容易發生，再加上，這些中小企業普遍缺乏網絡安全投資和必要防護手段，抗擊打能力比較弱，一旦遭到網絡攻擊，蒙受巨大經濟損失后將很難恢復元氣。

文檔包含的概念很好理解，編程中經常用到，比如python中的import、c中的include，php當然也不例外。但php“牛逼”的地方在于即使包含的文檔不是php類型，也不會報錯，并且其中包含的php代碼也會執行，這是文檔包含漏洞產生的根本原因。文檔包含漏洞和任意文檔漏洞很相似，只不過一個是解析，一個是。
漏洞利用的幾種方式：1.向服務器寫馬：圖片中寫惡意代碼(結合文檔上傳），錯誤日志寫惡意代碼(錯誤訪問會被記錄到錯誤日志中），session中寫惡意代碼。訪問圖片、日志文檔或session文檔，服務器生成木馬，直接getshell。2.讀取敏感文檔：結合目錄遍歷漏洞讀取敏感文檔。3.偽協議：偽協議可以使用的話，可以嘗試讀取文檔或命令執行。

多年以來，應用程序設計總是優先考慮功能性和可用性，很少考慮安全性。很多CISO表示，API安全性尤其不被重視，甚至完全被排除在安全設計流程之外。通常都是開發人員開發和部署完成后，在API投入生產且頻繁遭受攻擊后才亡羊補牢查找問題。安全性（包括API安全性）需要成為產品設計的一部分，并且應作為首要考慮因素加以實現，而不是事后填坑。
解決方法：審查應用程序的安全體系結構是邁向安全系統的重要步。請記住，API使攻擊者能更地攻擊或利用您的系統。設計安全性的目標是讓API成為用戶而非攻擊者的工具。以上只列舉了一些常見的API漏洞，總之，重要的是在軟件開發生命周期的早期階段就討論安全問題。微小的改進就可以帶來巨大的好處，避免API遭攻擊造成的巨大和損失。

滲透測試其實就是一個攻防對抗的過程，所謂知己知彼，才能百戰百勝。如今的網站基本都有防護措施，大企業或大單位因為網站眾多，一般都會選擇大型防火墻作為保護措施，比如深信服、天融信等等，小單位或單個網站通常會選擇D盾、安全狗或開源的安全軟件作為保護措施，一些常見的開源waf有：OpenResty、ModSecurity、NAXSI、WebKnight、ShadowDaemon等等。
當然，服務器沒裝防護的的網站還是有的。而這些防護措施都有對常見漏洞的防御措施，所以在實際的漏洞挖掘和利用過程中必須考慮這些問題，如何確定防護措施，如何對抗防護措施。web常見漏洞一直是變化的，隔一段時間就會有新的漏洞被發現，但實戰中被利用的漏洞其實就那么幾個，就像編程語言一樣，穩坐前三的永遠是c、c++。
SINE安全網站漏洞檢測時必須要人工去審計漏洞和查找漏洞找出問題所在并修復漏洞，對各項功能都進行了全面的安全檢測。
http://4koz.com