SQL注入: 檢測網站是否存在SQL注入漏洞，如：INT型注入和String型注入，盲注、報錯注入、編碼寬字節注入、二次Urldecode注入、如果存在該漏洞，攻擊者對注入點進行注入攻擊，注入攻擊是對數據庫直接操作，可輕易獲得網站的后臺管理權限，甚至網站服務器的管理權限。并可能導致用戶露。重要的敏感信息泄漏，SQL 注入可獲取大量企業核心業務數據等接口問題引起的敏感信息泄露。
比較敏感實際操作二次驗證以便緩解CSRF、應用程序被劫持等系統漏洞的危害，在升級帳戶比較敏感信息內容（如客戶登陸密碼，電子郵件，買賣詳細等）以前必須認證帳戶的憑據，要是沒有這類對策，網絡攻擊不用了解客戶的當今憑據，就能根據CSRF、XSS攻擊實行比較敏感實際操作，除此之外，網絡攻擊還能夠臨時性觸碰客戶機器設備，瀏覽客戶的電腦瀏覽器，進而應用程序Id來對接當今應用程序。

內部網站被攻擊的因素：一般來說屬于網站本身的原因。對于企業網站來說，這些網站被認為是用來充當門面形象的，安全和防范意識薄弱。這幾乎是企業網站的常見問題。安全和防范意識大多數較弱，網站被攻擊也是客觀事實。更重要的是，大多數網站都為時已晚，無法擺脫攻擊，對攻擊的程度不夠了解，嚴重攻擊的真正損害是巨大的。像網站存在漏洞被入侵篡改了頁面，導致網站顯示一些與網站不相關的內容，或一些數據信息被透露，這都是因為程序代碼上的漏洞導致被hack攻擊的，建議大家在上線網站前一定要找的網站安全公司對網站代碼進行全面的安全滲透測試服務，國內做的比較的如Sine安全，安恒信息，盾安全，銥迅等等。

還要確定的是，哪些系統需要測試。雖然你不想漏掉可能會受到攻擊的某個系統，但可能仍想分階段把滲透測試外包出去，以便每個階段專注于網絡的不同部分。

使用預編查詢語句防護SQL注入攻擊的好措施，就是使用預編譯查詢語句，關連變量，然后對變量進行類型定義，比如對某函數進行數字類型定義只能輸入數字。使用存儲過程實際效果與預編語句相近，差別取決于存儲過程必須先將SQL語句界定在數據庫查詢中。也肯定存在注入難題，防止在存儲過程中，使用性的SQL語句。查驗基本數據類型，使用安全性函數各種各樣Web代碼都保持了一些編號函數，能夠協助抵抗SQL注入。
安全評估報告 
· 根據不同的滲透測試結果，形成一套完整的安全報告。報告出所發現的漏洞以及修復方案。
· 根據發現的漏洞，分三個風險級別，高危，中等，低危三個等級。 
· 我們不做攻擊，在洽談合作時,需要提供網站和服務器的所有權。
http://4koz.com