好，第三個的話就是對白盒測試，那么非常重要的一點就是你要知道如何去設(shè)計用例，如何去設(shè)計用例 好，設(shè)計用例的話，其實就是也就是你測試這個軟件的一個非常重要的邏輯思維這個東西。 因此就是說并不是說每個人都能夠隨隨便便去做一做一個很好的黑盒測試的工程師。
在對前端輸入過來的值進(jìn)行安全判斷，確認(rèn)變量值是否存在，如果存在將不會覆蓋，杜絕變量覆蓋導(dǎo)致?lián)饺霅阂鈽?gòu)造的sql注入語句代碼在GET請求，以及POST請求里，過濾非法字符的輸入。 '分號過濾 --過濾 %20字符過濾，單引號過濾，%百分號， and過濾，tab鍵值等的的安全過濾。如果對代碼不是太懂的話，也可以找網(wǎng)站安全公司來處理，國內(nèi)SINESAFE,啟明星辰，綠盟都是比較的。邏輯漏洞的修復(fù)辦法，對密碼找回功能頁面進(jìn)行安全校驗，檢查所屬賬號的身份是否是當(dāng)前的，如果不是不能發(fā)送驗證碼，其實就是代碼功能的邏輯設(shè)計出了問題，邏輯理順清楚了，就很容易的修復(fù)漏洞，也希望我們SINE安全分享的這次滲透測試過程能讓更多的人了解滲透測試，安全防患于未然。

應(yīng)對措施：文檔上傳的繞過方法網(wǎng)上一搜有很多（比如upload-labs的各種方法、繞防火墻的各種方法（雖然很多已經(jīng)過時），可能還有些沒有公開的方法，總結(jié)一下：1.常規(guī)的繞過方法：文檔后綴（大小寫、文檔別名等等）、文檔名（文檔名加分號、引號等等）、文檔內(nèi)容（比如圖片馬）、請求包結(jié)構(gòu)等等。
2.結(jié)合服務(wù)器解析漏洞：IIS、apache、nginx的特定版本都有對應(yīng)的解析漏洞。3.利用文檔包含漏洞：如果有文檔包含漏洞，可以結(jié)合文檔包含漏洞，上傳馬。4.利用組件漏洞：如果知道組件版本和名稱，可以網(wǎng)上找一下相應(yīng)漏洞。注：手動一個一個去試各種方法，的確很麻煩，可以試試burpsuit的上傳插件upload-scanner(但本人覺得并不好用）。

近，攻擊者接管賬戶的嘗試在不斷增加。錯誤消息過于“詳細(xì)周到”，往往使此類攻擊更加容易。冗長的錯誤消息會引導(dǎo)攻擊者了解他們需要進(jìn)行哪些更改才能偽裝成合法請求。API專為低負(fù)載下的高速交易而設(shè)計，使攻擊者可以使用高性能系統(tǒng)找出有效賬戶，然后嘗試登錄并更改密碼進(jìn)行利用。解決方法：不要拿用戶體驗作為擋牌，有些看起來有利于用戶體驗的做法，未必有利于安全性。系統(tǒng)返回的錯誤信息不應(yīng)該包括錯誤的用戶名或錯誤的密碼，甚至不能包含錯誤信息的類別（用戶名還是密碼錯誤）。用于查詢數(shù)據(jù)的錯誤消息也是如此，如果查詢/搜索格式不正確或由于某種原因而無法執(zhí)行，則應(yīng)該返回“沒有營養(yǎng)”的錯誤信息：“糟糕，哪里出錯了”。

文件上傳漏洞。造成文件上傳漏洞的主要原因是應(yīng)用程序中有上傳功能，但上傳的文件沒有通過嚴(yán)格的合法性檢查或者檢查功能有缺陷，導(dǎo)致木馬文件上傳到服務(wù)器。文件上傳漏洞危害大，因為惡意代碼可以直接上傳到服務(wù)器，可能造成服務(wù)器網(wǎng)頁修改、網(wǎng)站暫停、服務(wù)器遠(yuǎn)程控制、后門安裝等嚴(yán)重后果。文件上傳的漏洞主要是通過前端JS旁路、文件名旁路和Content-Type旁路上傳惡意代碼。
SINE安全網(wǎng)站漏洞檢測時必須要人工去審計漏洞和查找漏洞找出問題所在并修復(fù)漏洞，對各項功能都進(jìn)行了全面的安全檢測。
http://4koz.com