許多客戶在網站，以及APP上線的同時，都會提前的對網站進行全面的滲透測試以及安全檢測，提前檢測出存在的網站漏洞，以免后期網站發展過程中出現重大的經濟損失，前段時間有客戶找到我們SINE安全公司做滲透測試服務，在此我們將把對客戶的整個滲透測試過程以及安全測試，發現的漏洞都記錄下來，分享給大家，也希望大家更深地去了解滲透測試。
近，攻擊者接管賬戶的嘗試在不斷增加。錯誤消息過于“詳細周到”，往往使此類攻擊更加容易。冗長的錯誤消息會引導攻擊者了解他們需要進行哪些更改才能偽裝成合法請求。API專為低負載下的高速交易而設計，使攻擊者可以使用高性能系統找出有效賬戶，然后嘗試登錄并更改密碼進行利用。解決方法：不要拿用戶體驗作為擋牌，有些看起來有利于用戶體驗的做法，未必有利于安全性。系統返回的錯誤信息不應該包括錯誤的用戶名或錯誤的密碼，甚至不能包含錯誤信息的類別（用戶名還是密碼錯誤）。用于查詢數據的錯誤消息也是如此，如果查詢/搜索格式不正確或由于某種原因而無法執行，則應該返回“沒有營養”的錯誤信息：“糟糕，哪里出錯了”。

這在目前的互聯網環境下，很容易出現安全問題，比如被攻擊、被掛馬、被用戶數據等等，尤其是本身在代碼安全層面做的并不好的情況下，這種事件就更容易發生，再加上，這些中小企業普遍缺乏網絡安全投資和必要防護手段，抗擊打能力比較弱，一旦遭到網絡攻擊，蒙受巨大經濟損失后將很難恢復元氣。

中小企業，為什么受傷的總是我？
然而，雖然云存在有這樣那樣的問題，但企業上云已經成為眾多企業用戶的共識，也是未來發展的必然趨勢，越來越多的行業客戶也已經開始從傳統 IDC 遷移上云。雖然目前絕大部分客戶都是將自有企業及業務系統等較輕量的架構上云，但從 CSDN 新出爐的《2017 中國軟件開發者》中，安全仍然是大多數企業在上云時面臨的頭號問題。

當攻擊者通過API調用遍歷攻擊系統時，他們必須弄清楚可以發送些什么來獲取數據。攻擊者“信奉”這樣的一個事實：即越復雜的系統，出錯的地方越多。攻擊者識別出API后，他們將對參數進行分類，然后嘗試訪問管理員（垂直特權升級）或另一個用戶（水平特權升級）的數據以收集其他數據。通常，太多不必要的參數被暴露給了用戶。
在近的研究項目中，我們對目標服務的API調用返回了大量數據，很多都是不必要的數據信息，例如付款網關的處理器密鑰和可用的折扣信息等。這些“獎勵信息”使攻擊者可以更好地理解這些API調用的上下文和語法。攻擊者不需要太多的想象力就能弄清楚下一步該怎么做。這些額外的參數為攻擊者提供了豐富的攻擊數據集。解決方法：如果將用戶看到的內容范圍限制為必需內容，限制關鍵數據的傳輸，并使數據查詢結構未知，那么攻擊者就很難對他們知道的參數進行爆密。
SINE安全網站漏洞檢測時必須要人工去審計漏洞和查找漏洞找出問題所在并修復漏洞，對各項功能都進行了全面的安全檢測。
http://4koz.com