好，第二個的話，就是咱們去做功能測試的話，你要知道你我們經常做的一些測試的策略有哪一些，然后你是從哪些角度去做這一些測試策略的比如說這些測試策略的話有咱們的功能測試，然后 UI 兼容性測試、穩定性測試，那這些東西你如何去做你是如何去實施的，你會從哪些角度去測試，這個也是做做咱們黑盒測試必須要掌握的一個。
大多數開發人員沒有安全意識，其中軟件開發公司更嚴重。他們專注于實現客戶的需求，不考慮現在的代碼是否有安全上的危險。在生產軟件的同時，也生產脆弱性，沒有任何軟件是的，沒有脆弱性。因此，建議網絡安全技術人員對代碼進行安全審計，挖掘漏洞，避免風險。無論是大型軟件還是小型軟件，安全穩定都是APP運營的標準。否則，即使是更好的商業模式也無法忍受網絡攻擊的推敲。大型軟件受到競爭對手和黑產組織的威脅，小型軟件通過掃描式隨機攻擊侵入服務器，稍有疏忽的平臺被利用。

啟動一個新是一個令人興奮的項目，充滿了許多重要的步驟和決定。但是，作為的所有者，您不僅要處理被入侵的后果，還要對其頁面上的內容以及人們用來與之交互的機制負責。如果您計劃存儲用戶信息（例如密碼或電話號碼），則必須妥善保護這些數據，否則根據某些法律，您可能會因數據泄露事件而受到罰款。
選擇可靠的主機服務商
在互聯網發展的早期，個人和公司將在本地化的數據中心或辦公室中獲取和維護自己的服務器，而云計算從根本上轉變了這種模式，大多數的現在都是通過第三方提供商托管。云計算降低了所有者的管理成本和責任，也帶來了一些安全問題。如提供商遭受數據泄露或整個數據中心出現故障，您的可能會丟失重要信息，因此，選擇一個可靠的主機服務商至關重要。

接下來還得檢測網站的各項功能以及APP功能是否存在邏輯漏洞，越權漏洞，水平垂直等等，我們SINE安全技術詳細的對每一個功能都測試很多遍，一次，兩次，多次的反復進行，在用戶重置密碼功能這里發現有漏洞，正常功能代碼設計是這樣的流程，首先會判斷用戶的賬號是否存在，以及下一步用戶的是否與數據庫里的一致，這里簡單地做了一下安全校驗，但是在獲取驗證碼的時候并沒有做安全校驗，導致可以post數據包，將為任意來獲取驗證碼，利用驗證碼來重置密碼。

討論回顧完上次整改的問題之后，理清了思路。然后我登錄了網站查看一下原因，因為網站只有一個上傳圖片的地方，我進行抓包嘗試，使用了repeater重放包之后，發現返回包確實沒有返回文檔上傳路徑，然后我又嘗試了各種繞過，結果都不行。后苦思冥想得不到結果，然后去問一下這個云平臺給他們提供的這個告警是什么原因。看了云平臺反饋的結果里面查殺到有圖片碼，這個問題不大，上傳文檔沒有執行權限，而且沒有返回文檔路徑，還對文檔名做了隨機更改，但是為啥會有這個jsp上傳成功了，這讓我百思不得其解。
當我仔細云平臺提供的發現webshel數據的時候，我細心的觀察到了文檔名使用了base編碼，這個我很疑惑，都做了隨機函數了還做編碼干嘛，上次測試的時候是沒有做編碼的。我突然想到了問題關鍵，然后使用burpsuite的decoder模塊，將文檔名“1jsp”做了base編碼成“MS5Kc1A=”，然后發送成功反饋狀態碼200，再不是這個上傳失敗反饋500狀態碼報錯了。
所以，這個問題所在是，在整改過程中研發人員對這個文檔名使用了base編碼，導致文檔名在存儲過程中會使用base解析，而我上傳文檔的時候將這個后綴名.jsp也做了這個base編碼，在存儲過程中.jsp也被成功解析，研發沒有對解析之后進行白名單限制。其實這種編碼的更改是不必要的，畢竟原來已經做了隨機數更改了文檔名了，再做編碼有點畫蛇添足了，這就是為啥程序bug改一個引發更多的bug原因。
SINE安全網站漏洞檢測時必須要人工去審計漏洞和查找漏洞找出問題所在并修復漏洞，對各項功能都進行了全面的安全檢測。
http://4koz.com