好，第三個的話就是對白盒測試，那么非常重要的一點就是你要知道如何去設計用例，如何去設計用例 好，設計用例的話，其實就是也就是你測試這個軟件的一個非常重要的邏輯思維這個東西。 因此就是說并不是說每個人都能夠隨隨便便去做一做一個很好的黑盒測試的工程師。
啟動一個新是一個令人興奮的項目，充滿了許多重要的步驟和決定。但是，作為的所有者，您不僅要處理被入侵的后果，還要對其頁面上的內容以及人們用來與之交互的機制負責。如果您計劃存儲用戶信息（例如密碼或電話號碼），則必須妥善保護這些數據，否則根據某些法律，您可能會因數據泄露事件而受到罰款。
選擇可靠的主機服務商
在互聯網發展的早期，個人和公司將在本地化的數據中心或辦公室中獲取和維護自己的服務器，而云計算從根本上轉變了這種模式，大多數的現在都是通過第三方提供商托管。云計算降低了所有者的管理成本和責任，也帶來了一些安全問題。如提供商遭受數據泄露或整個數據中心出現故障，您的可能會丟失重要信息，因此，選擇一個可靠的主機服務商至關重要。

攻擊產業鏈成熟，攻擊成本極低
目前黑產產業愈發成熟，發起一次網絡攻擊或入侵的代價變得非常低廉，如果你在網上搜一搜，就會發現，僅需花費數十元，便可以購買 50M 的日攻擊服務。如果包月，費用更低，即花費 500 元就可以攻擊一個中小企業長達一個月。這樣一來，企業將面臨的不但是要在應用架構上花重金配置的安全防護類產品，還需要在安全防護方面投入運維人力，中小企業根本無力承擔，安全成為中小企業無法承受之重。

早上，我突然被客戶告知，他部署在云平臺的服務器被檢測到webshell，已經查殺了，而且云平臺檢測到這個ip是屬于我公司的，以為是我們公司做了測試導致的，問我這個怎么上傳的webshell，我當時也是一臉懵逼，我記得很清楚這是我的項目，是我親自測試的，上傳點不會有遺漏的，然后開始了我的排查隱患工作。
巡檢查殺首先，我明白自己要做的不是找到這個上傳的位置是哪里出現的，我應該登上服務器進行webshel查殺，進行巡檢，找找看是否被別人入侵了，是否存在后門等等情況。雖然報的是我們公司的ip，萬一漏掉了幾個webshell，被別人上傳成功了沒檢測出來，那服務器被入侵了如何能行。所以我上去巡檢了服務器，上傳這個webshell查殺工具進行查殺，使用netstat-anpt和iptables-L判斷是否存在后門建立，查看是否有程序占用CPU，等等，此處不詳細展開了。萬幸的是服務器沒有被入侵，然后我開始著手思考這個上傳點是怎么回事。
文檔上傳漏洞回顧首先，我向這個和我對接的研發人員咨詢這個服務器對外開放的，要了之后打開發現，眼熟的不就是前不久自己測試的嗎？此時，我感覺有點懵逼，和開發人員對質起這個整改信息，上次測試完發現這個上傳的地方是使用了白名單限制，只允許上傳jpeg、png等圖片格式了。當時我還發現，這個雖然上傳是做了白名單限制，也對上傳的文檔名做了隨機數，還匹配了時間規則，但是我還是在返回包發現了這個上傳路徑和文檔名，這個和他提議要進行整改，不然這個會造成這個文檔包含漏洞，他和我反饋這個確實進行整改了，沒有返回這個路徑了。

中小企業安全防護薄弱，抗擊打能力不強
據相關數據顯示，超過 90%的企業完全或高度依靠互聯網開展業務，科技/互聯網、金融、電信是對互聯網依存度高的行業，而其中創業型小微企業（50 人以內）更甚，互聯網成為這些類型企業發展的重要根基。而這些企業，并沒有的技術團隊運維，往往是交給建站公司管理，或自己租用個主機就發布。
SINE安全網站漏洞檢測時必須要人工去審計漏洞和查找漏洞找出問題所在并修復漏洞，對各項功能都進行了全面的安全檢測。
http://4koz.com