好，第二個(gè)的話，就是咱們?nèi)プ龉δ軠y(cè)試的話，你要知道你我們經(jīng)常做的一些測(cè)試的策略有哪一些，然后你是從哪些角度去做這一些測(cè)試策略的比如說(shuō)這些測(cè)試策略的話有咱們的功能測(cè)試，然后 UI 兼容性測(cè)試、穩(wěn)定性測(cè)試，那這些東西你如何去做你是如何去實(shí)施的，你會(huì)從哪些角度去測(cè)試，這個(gè)也是做做咱們黑盒測(cè)試必須要掌握的一個(gè)。
其實(shí)從開發(fā)的角度，如果要保證代碼至少在邏輯方面沒(méi)有明顯的漏洞，還是有些繁瑣的。舉個(gè)簡(jiǎn)單的例子，如網(wǎng)站的數(shù)據(jù)檢驗(yàn)功能，不允許前端提交不符合當(dāng)前要求規(guī)范的數(shù)據(jù)（比如年齡文本框部分不能提交字母）。那么為了實(shí)現(xiàn)這個(gè)功能，首先開發(fā)者肯定要在前端實(shí)現(xiàn)該功能，直接在前端阻止用戶提交不符規(guī)范的數(shù)據(jù)，否則用戶體驗(yàn)會(huì)很差，且占用服務(wù)器端的資源。
但是沒(méi)有安全意識(shí)或覺(jué)得麻煩的開發(fā)者就會(huì)僅僅在前端用Js進(jìn)行校驗(yàn)，后端沒(méi)有重復(fù)進(jìn)行校驗(yàn)。這樣就很容易給惡意用戶機(jī)會(huì)：比如不通過(guò)前端頁(yè)面，直接向后端接口發(fā)送數(shù)據(jù)：或者，前端代碼編寫不規(guī)范，用戶可以直接在瀏覽器控制臺(tái)中用自己寫的Js代碼覆蓋原有的Js代碼；或者，用戶還可以直接在瀏覽器中禁用Js；等等?？傊岸说膫鬟^(guò)來(lái)的數(shù)據(jù)可信度基本上可以認(rèn)為比較低，太容易被利用了。
而我的思路都是很簡(jiǎn)單的，就是關(guān)注比較重要的幾個(gè)節(jié)點(diǎn)，看看有沒(méi)有可乘之機(jī)。如登錄、權(quán)限判定、數(shù)據(jù)加載等前后，對(duì)方是怎么做的，用了什么樣的技術(shù)，有沒(méi)有留下很明顯的漏洞可以讓我利用。像這兩個(gè)網(wǎng)站，加載的Js文檔都沒(méi)有進(jìn)行混淆，注釋也都留著，還寫得很詳細(xì)。比較湊巧的是，這兩個(gè)網(wǎng)站都用到了比較多的前端的技術(shù)，也都用到了sessionStorage。

我們SINE安全在進(jìn)行Web滲透測(cè)試中網(wǎng)站漏洞利用率的前五個(gè)漏洞。常見(jiàn)漏洞包括注入漏洞、文件上傳漏洞、文件包含漏洞、命令執(zhí)行漏洞、代碼執(zhí)行漏洞、跨站點(diǎn)腳本(XSS)漏洞、SSRF漏洞、XML外部實(shí)體(XXE)漏洞、反序列化漏洞、解析漏洞等。，因?yàn)檫@些安全漏洞可能被利用，從而影響業(yè)務(wù)。以下每一條路線都是一種安全風(fēng)險(xiǎn)?？梢酝ㄟ^(guò)一系列的攻擊手段發(fā)現(xiàn)目標(biāo)的安全弱點(diǎn)。如果安全漏洞被成功利用，目標(biāo)將被控制，威脅目標(biāo)資產(chǎn)或正常功能的使用，終導(dǎo)致業(yè)務(wù)受到影響。

以盜幣為主要目的的攻擊并非個(gè)例，隨著以為代表的數(shù)字的盛行，世界各地的交易中心成為了攻擊的一個(gè)新目標(biāo)，頻頻爆出遭遇的攻擊，用戶賬戶被盜、用戶數(shù)據(jù)泄露、損失慘重等事件。

云的簡(jiǎn)化運(yùn)維特性可以幫用戶降低這方面風(fēng)險(xiǎn)，但如果用戶在架構(gòu)上并沒(méi)有針對(duì)性的做署，安全問(wèn)題仍然很突出。相比而言，大部分大企業(yè)有的 IT 部門，配備的信息安全團(tuán)隊(duì)，每年有信息安全方面的預(yù)算，有助于他們抵御網(wǎng)絡(luò)攻擊和修復(fù)漏洞。如此一來(lái)，當(dāng)同樣受到網(wǎng)絡(luò)攻擊時(shí)，中小企業(yè)受到的影響顯然更加顯著。
SINE安全網(wǎng)站漏洞檢測(cè)時(shí)必須要人工去審計(jì)漏洞和查找漏洞找出問(wèn)題所在并修復(fù)漏洞，對(duì)各項(xiàng)功能都進(jìn)行了全面的安全檢測(cè)。
http://4koz.com