許多客戶在網(wǎng)站，以及APP上線的同時(shí)，都會提前的對網(wǎng)站進(jìn)行全面的滲透測試以及安全檢測，提前檢測出存在的網(wǎng)站漏洞，以免后期網(wǎng)站發(fā)展過程中出現(xiàn)重大的經(jīng)濟(jì)損失，前段時(shí)間有客戶找到我們SINE安全公司做滲透測試服務(wù)，在此我們將把對客戶的整個(gè)滲透測試過程以及安全測試，發(fā)現(xiàn)的漏洞都記錄下來，分享給大家，也希望大家更深地去了解滲透測試。
云的簡化運(yùn)維特性可以幫用戶降低這方面風(fēng)險(xiǎn)，但如果用戶在架構(gòu)上并沒有針對性的做署，安全問題仍然很突出。相比而言，大部分大企業(yè)有的 IT 部門，配備的信息安全團(tuán)隊(duì)，每年有信息安全方面的預(yù)算，有助于他們抵御網(wǎng)絡(luò)攻擊和修復(fù)漏洞。如此一來，當(dāng)同樣受到網(wǎng)絡(luò)攻擊時(shí)，中小企業(yè)受到的影響顯然更加顯著。

接下來還得檢測網(wǎng)站的各項(xiàng)功能以及APP功能是否存在邏輯漏洞，越權(quán)漏洞，水平垂直等等，我們SINE安全技術(shù)詳細(xì)的對每一個(gè)功能都測試很多遍，一次，兩次，多次的反復(fù)進(jìn)行，在用戶重置密碼功能這里發(fā)現(xiàn)有漏洞，正常功能代碼設(shè)計(jì)是這樣的流程，首先會判斷用戶的賬號是否存在，以及下一步用戶的是否與數(shù)據(jù)庫里的一致，這里簡單地做了一下安全校驗(yàn)，但是在獲取驗(yàn)證碼的時(shí)候并沒有做安全校驗(yàn)，導(dǎo)致可以post數(shù)據(jù)包，將為任意來獲取驗(yàn)證碼，利用驗(yàn)證碼來重置密碼。

當(dāng)攻擊者通過API調(diào)用遍歷攻擊系統(tǒng)時(shí)，他們必須弄清楚可以發(fā)送些什么來獲取數(shù)據(jù)。攻擊者“信奉”這樣的一個(gè)事實(shí)：即越復(fù)雜的系統(tǒng)，出錯(cuò)的地方越多。攻擊者識別出API后，他們將對參數(shù)進(jìn)行分類，然后嘗試訪問管理員（垂直特權(quán)升級）或另一個(gè)用戶（水平特權(quán)升級）的數(shù)據(jù)以收集其他數(shù)據(jù)。通常，太多不必要的參數(shù)被暴露給了用戶。
在近的研究項(xiàng)目中，我們對目標(biāo)服務(wù)的API調(diào)用返回了大量數(shù)據(jù)，很多都是不必要的數(shù)據(jù)信息，例如付款網(wǎng)關(guān)的處理器密鑰和可用的折扣信息等。這些“獎勵(lì)信息”使攻擊者可以更好地理解這些API調(diào)用的上下文和語法。攻擊者不需要太多的想象力就能弄清楚下一步該怎么做。這些額外的參數(shù)為攻擊者提供了豐富的攻擊數(shù)據(jù)集。解決方法：如果將用戶看到的內(nèi)容范圍限制為必需內(nèi)容，限制關(guān)鍵數(shù)據(jù)的傳輸，并使數(shù)據(jù)查詢結(jié)構(gòu)未知，那么攻擊者就很難對他們知道的參數(shù)進(jìn)行爆密。

中小企業(yè)安全防護(hù)薄弱，抗擊打能力不強(qiáng)
據(jù)相關(guān)數(shù)據(jù)顯示，超過 90%的企業(yè)完全或高度依靠互聯(lián)網(wǎng)開展業(yè)務(wù)，科技/互聯(lián)網(wǎng)、金融、電信是對互聯(lián)網(wǎng)依存度高的行業(yè)，而其中創(chuàng)業(yè)型小微企業(yè)（50 人以內(nèi)）更甚，互聯(lián)網(wǎng)成為這些類型企業(yè)發(fā)展的重要根基。而這些企業(yè)，并沒有的技術(shù)團(tuán)隊(duì)運(yùn)維，往往是交給建站公司管理，或自己租用個(gè)主機(jī)就發(fā)布。
SINE安全網(wǎng)站漏洞檢測時(shí)必須要人工去審計(jì)漏洞和查找漏洞找出問題所在并修復(fù)漏洞，對各項(xiàng)功能都進(jìn)行了全面的安全檢測。
http://coolerbeats.net