許多客戶在網(wǎng)站，以及APP上線的同時(shí)，都會(huì)提前的對(duì)網(wǎng)站進(jìn)行全面的滲透測(cè)試以及安全檢測(cè)，提前檢測(cè)出存在的網(wǎng)站漏洞，以免后期網(wǎng)站發(fā)展過程中出現(xiàn)重大的經(jīng)濟(jì)損失，前段時(shí)間有客戶找到我們SINE安全公司做滲透測(cè)試服務(wù)，在此我們將把對(duì)客戶的整個(gè)滲透測(cè)試過程以及安全測(cè)試，發(fā)現(xiàn)的漏洞都記錄下來，分享給大家，也希望大家更深地去了解滲透測(cè)試。
中小企業(yè)資金匱乏，安全人員稀缺
在 50 人以下的小微企業(yè)中，高達(dá) 39.8%的企業(yè)沒有任何信息安全投入，50~100 人企業(yè)中，31.9%的企業(yè)沒有任何信息安全投入。因此，對(duì)于中小傳統(tǒng)企業(yè)用戶而言，本身并沒有過多的技術(shù)人員投入，往往等業(yè)務(wù)系統(tǒng)上線后，就很少關(guān)注線上問題。

大多數(shù)開發(fā)人員沒有安全意識(shí)，其中軟件開發(fā)公司更嚴(yán)重。他們專注于實(shí)現(xiàn)客戶的需求，不考慮現(xiàn)在的代碼是否有安全上的危險(xiǎn)。在生產(chǎn)軟件的同時(shí)，也生產(chǎn)脆弱性，沒有任何軟件是的，沒有脆弱性。因此，建議網(wǎng)絡(luò)安全技術(shù)人員對(duì)代碼進(jìn)行安全審計(jì)，挖掘漏洞，避免風(fēng)險(xiǎn)。無論是大型軟件還是小型軟件，安全穩(wěn)定都是APP運(yùn)營的標(biāo)準(zhǔn)。否則，即使是更好的商業(yè)模式也無法忍受網(wǎng)絡(luò)攻擊的推敲。大型軟件受到競(jìng)爭(zhēng)對(duì)手和黑產(chǎn)組織的威脅，小型軟件通過掃描式隨機(jī)攻擊侵入服務(wù)器，稍有疏忽的平臺(tái)被利用。

應(yīng)對(duì)措施：文檔上傳的繞過方法網(wǎng)上一搜有很多（比如upload-labs的各種方法、繞防火墻的各種方法（雖然很多已經(jīng)過時(shí)），可能還有些沒有公開的方法，總結(jié)一下：1.常規(guī)的繞過方法：文檔后綴（大小寫、文檔別名等等）、文檔名（文檔名加分號(hào)、引號(hào)等等）、文檔內(nèi)容（比如圖片馬）、請(qǐng)求包結(jié)構(gòu)等等。
2.結(jié)合服務(wù)器解析漏洞：IIS、apache、nginx的特定版本都有對(duì)應(yīng)的解析漏洞。3.利用文檔包含漏洞：如果有文檔包含漏洞，可以結(jié)合文檔包含漏洞，上傳馬。4.利用組件漏洞：如果知道組件版本和名稱，可以網(wǎng)上找一下相應(yīng)漏洞。注：手動(dòng)一個(gè)一個(gè)去試各種方法，的確很麻煩，可以試試burpsuit的上傳插件upload-scanner(但本人覺得并不好用）。

1.注入漏洞。由于其普遍性和嚴(yán)重性，注入漏洞在Web0漏洞中始終排在位。常見的注入漏洞包括SQL、LDAP、OS命令、ORM和OGNL。用戶可以通過任何輸入點(diǎn)輸入構(gòu)建的惡意代碼。如果應(yīng)用程序沒有嚴(yán)格過濾用戶的輸入，一旦輸入的惡意代碼作為命令或查詢的一部分被發(fā)送到解析器，就可能導(dǎo)致注入漏洞。以SQL注入為例，是因?yàn)楣粽咄ㄟ^瀏覽器或其他客戶端向網(wǎng)站參數(shù)中插入惡意SQL語句，而網(wǎng)站應(yīng)用程序直接將惡意SQL語句帶入數(shù)據(jù)庫并執(zhí)行而不進(jìn)行過濾，終導(dǎo)致通過數(shù)據(jù)庫獲取敏感信息或其他惡意操作。
SINE安全網(wǎng)站漏洞檢測(cè)時(shí)必須要人工去審計(jì)漏洞和查找漏洞找出問題所在并修復(fù)漏洞，對(duì)各項(xiàng)功能都進(jìn)行了全面的安全檢測(cè)。
http://4koz.com