好，第三個的話就是對白盒測試，那么非常重要的一點就是你要知道如何去設計用例，如何去設計用例 好，設計用例的話，其實就是也就是你測試這個軟件的一個非常重要的邏輯思維這個東西。 因此就是說并不是說每個人都能夠隨隨便便去做一做一個很好的黑盒測試的工程師。
早上，我突然被客戶告知，他部署在云平臺的服務器被檢測到webshell，已經查殺了，而且云平臺檢測到這個ip是屬于我公司的，以為是我們公司做了測試導致的，問我這個怎么上傳的webshell，我當時也是一臉懵逼，我記得很清楚這是我的項目，是我親自測試的，上傳點不會有遺漏的，然后開始了我的排查隱患工作。
巡檢查殺首先，我明白自己要做的不是找到這個上傳的位置是哪里出現的，我應該登上服務器進行webshel查殺，進行巡檢，找找看是否被別人入侵了，是否存在后門等等情況。雖然報的是我們公司的ip，萬一漏掉了幾個webshell，被別人上傳成功了沒檢測出來，那服務器被入侵了如何能行。所以我上去巡檢了服務器，上傳這個webshell查殺工具進行查殺，使用netstat-anpt和iptables-L判斷是否存在后門建立，查看是否有程序占用CPU，等等，此處不詳細展開了。萬幸的是服務器沒有被入侵，然后我開始著手思考這個上傳點是怎么回事。
文檔上傳漏洞回顧首先，我向這個和我對接的研發人員咨詢這個服務器對外開放的，要了之后打開發現，眼熟的不就是前不久自己測試的嗎？此時，我感覺有點懵逼，和開發人員對質起這個整改信息，上次測試完發現這個上傳的地方是使用了白名單限制，只允許上傳jpeg、png等圖片格式了。當時我還發現，這個雖然上傳是做了白名單限制，也對上傳的文檔名做了隨機數，還匹配了時間規則，但是我還是在返回包發現了這個上傳路徑和文檔名，這個和他提議要進行整改，不然這個會造成這個文檔包含漏洞，他和我反饋這個確實進行整改了，沒有返回這個路徑了。

獲取SSL證書
如果您計劃在Web服務器上傳輸任何敏感用戶數據，則必須使用安接字層(SSL)證書。SSL是一種在瀏覽器級別發生的加密協議，可確保所有傳入和傳出的Web請求都被外部人員屏蔽。作為所有者，您有責任從機構獲取有效的SSL證書并使其保持新。使用您的域名配置后，用戶將在瀏覽器中看到URL旁邊的掛鎖符號，這是安全的通用指標。
使用CDN加速
盡管近年來全球互聯網速度越來越快，連接不同地域時仍會遇到延遲，一種流行的解決方案是采用CDN加速。CDN提供商在不同區域維護一組服務器用于緩存內容的某些部分，以提高加載速度并實現大規模流量的負載均衡，降低DDoS攻擊損害。

討論回顧完上次整改的問題之后，理清了思路。然后我登錄了網站查看一下原因，因為網站只有一個上傳圖片的地方，我進行抓包嘗試，使用了repeater重放包之后，發現返回包確實沒有返回文檔上傳路徑，然后我又嘗試了各種繞過，結果都不行。后苦思冥想得不到結果，然后去問一下這個云平臺給他們提供的這個告警是什么原因。看了云平臺反饋的結果里面查殺到有圖片碼，這個問題不大，上傳文檔沒有執行權限，而且沒有返回文檔路徑，還對文檔名做了隨機更改，但是為啥會有這個jsp上傳成功了，這讓我百思不得其解。
當我仔細云平臺提供的發現webshel數據的時候，我細心的觀察到了文檔名使用了base編碼，這個我很疑惑，都做了隨機函數了還做編碼干嘛，上次測試的時候是沒有做編碼的。我突然想到了問題關鍵，然后使用burpsuite的decoder模塊，將文檔名“1jsp”做了base編碼成“MS5Kc1A=”，然后發送成功反饋狀態碼200，再不是這個上傳失敗反饋500狀態碼報錯了。
所以，這個問題所在是，在整改過程中研發人員對這個文檔名使用了base編碼，導致文檔名在存儲過程中會使用base解析，而我上傳文檔的時候將這個后綴名.jsp也做了這個base編碼，在存儲過程中.jsp也被成功解析，研發沒有對解析之后進行白名單限制。其實這種編碼的更改是不必要的，畢竟原來已經做了隨機數更改了文檔名了，再做編碼有點畫蛇添足了，這就是為啥程序bug改一個引發更多的bug原因。

在安全運營工作當中，經常需要系統日志、設備威脅事件日志、告警日志等，各種日志進行收集匯聚，具體分析，通過日志來分析威脅事件發生源頭、相關聯的人和資產關系，以日志數據的角度，來追究溯源威脅事件發生的過程和基本概括原貌。評估威脅事件產生危害的影響范圍，關聯到人與資產，采取順藤摸瓜，將各種信息進行關聯，無論是二維關系數據聯系關聯，還是大數據分析建模，數據的分類采集都是基礎工作。
企業安全相關的各種日志數據，存放的位置、形式、大小、業務、使用人群都不同，如何根據不同業務規模的日志數據，采取相得益彰的技術形式進行合理的日志、聚合、分析、展示，就成為了一個課題，接下來，我們主要圍繞這些相關的主題進行討論分享，通過具體的日志聚合分析實踐，讓數據有效的關聯，使其在威脅事件分析、應急事件分析響應過程中讓數據起到方向性指引作用、起到探測器的作用，通過以上技術實踐，讓更多日志數據，有效的為企業安全運營提供更好的服務。
在實際工作當中，日志聚合分析工具種類繁多：ELK、Graylog、rk、Clickhouse、Superset等工具。我們以常用的日志數據使用場景為例子，結合這些工具的使用，向大家展示在實際數據工作中數據運營的情況，如何進行數據聚合分析，以提供實際的操作案例，能能直觀的了解數據管理的工作流程，之后可以重復實踐，不繞道走遠路，著重給出日志分析工具使用的要點，快速上手掌握相關工具的使用，掌握日常日志數據實操及相關方法。
為了方便實踐，盡量避免商業系統和設備在案例中的出現，以可以方便取材的開源項目為基礎，展開案例的講解，大家可以容易的在網上取材這些軟件系統，在本地完成實踐練習過程。本篇介紹入侵檢測系統Suricata及威脅日志事件管理系統Graylog，通過對入侵檢測系統的日志進行收集，來展現日志收集處理的典型過程。
開源IDS系統Suricata與威脅事件日志管理平臺Graylog結合，對網絡環境進行截取與日志收集分析統計，通過Suricata捕獲輸出的日志，經過Nxlog日志收集工具，將相關事件日志、告警日志、HTTP日志，通過Graylog進行日志聚合，對日志進行統計分析，分析網絡環境中存在各種威脅事件類型，通過自定義Suricata的檢測規則，控制入侵檢測的策略，以及入侵檢查系統的輸出結果。
SINE安全網站漏洞檢測時必須要人工去審計漏洞和查找漏洞找出問題所在并修復漏洞，對各項功能都進行了全面的安全檢測。
http://4koz.com