關于黑盒測試中的業務功能安全測試，個如果說你是去做那種性比較強的這一種業務，比如說咱們的這一個銀行類的金融類的這些業務，那么它可能個要求就是你要有這個什么業務能力。 因為有時候一些復雜的業務的話，并不是說如果說以前你沒做的話，他可能就光這個業務的培訓那就要給你來個三個月或甚至半年的一個時間，因此說對于這一種業務能力要求比較高的這種項目或者企業里面去招人的話，他個看中或者說他有一個硬性的要求，就是說你有沒有做過相關的這一些產品，如果做過的話，這一類人員他是優先的。
修改后臺初始密碼
每個都有一個后臺賬戶，用于日常的維護更新，而很多后臺初始密碼都過于簡單，在拿到后臺管理賬號密碼時，要先把初始密碼修改掉，帳號密碼要有一定的復雜度，不要使用域名、年份、姓名、純數字等元素，要知道密碼越好記也就意味著越容易被攻破。

文件上傳漏洞。造成文件上傳漏洞的主要原因是應用程序中有上傳功能，但上傳的文件沒有通過嚴格的合法性檢查或者檢查功能有缺陷，導致木馬文件上傳到服務器。文件上傳漏洞危害大，因為惡意代碼可以直接上傳到服務器，可能造成服務器網頁修改、網站暫停、服務器遠程控制、后門安裝等嚴重后果。文件上傳的漏洞主要是通過前端JS旁路、文件名旁路和Content-Type旁路上傳惡意代碼。

中小企業資金匱乏，安全人員稀缺
在 50 人以下的小微企業中，高達 39.8%的企業沒有任何信息安全投入，50~100 人企業中，31.9%的企業沒有任何信息安全投入。因此，對于中小傳統企業用戶而言，本身并沒有過多的技術人員投入，往往等業務系統上線后，就很少關注線上問題。

同樣地，由于可用的參數太多，收集數據將成為顯而易見的下一步行動。許多企業的系統支持匿名連接，并且傾向泄漏普通用戶不需要的額外數據。另外，許多企業傾向于存儲可以直接訪問的數據。安全人員正在努力應對API請求經常暴露數據存儲位置的挑戰。例如，當我查看安全攝像機中的視頻時，可以看到該信息來自AmazonS3存儲庫。通常，那些S3存儲庫的保護并不周全，任何人的數據都可以被檢索。
另一個常見的數據挑戰是數據過載，很多企業都像入冬前的花栗鼠，存儲的數據量遠遠超出了需要。很多過期用戶數據已經沒有商業價值和保存價值，但是如果發生泄密，則會給企業帶來巨大的和合規風險。解決方法：對于存儲用戶數據的企業，不僅僅是PII或PHI，都必須進行徹底的數據審查。在檢查了存儲的數據之后，應制定數據訪問規則并進行測試。確保能夠匿名訪問的數據不涉及任何敏感數據。
SINE安全網站漏洞檢測時必須要人工去審計漏洞和查找漏洞找出問題所在并修復漏洞，對各項功能都進行了全面的安全檢測。
http://4koz.com