雖然現(xiàn)在的網(wǎng)站安全防護(hù)技術(shù)已經(jīng)得到了很大的提升，但是相應(yīng)地，一些網(wǎng)站入侵技術(shù)也會不斷地升級、進(jìn)化。如何建設(shè)網(wǎng)站，因此，企業(yè)在進(jìn)行網(wǎng)站建設(shè)管理的時(shí)候，一定不可以輕視網(wǎng)站安全這一塊，建議企業(yè)周期性、長期性地用一些基本方法來檢測企業(yè)網(wǎng)站的安全性，確保網(wǎng)站順利、正常地運(yùn)營下去。
以盜幣為主要目的的攻擊并非個(gè)例，隨著以為代表的數(shù)字的盛行，世界各地的交易中心成為了攻擊的一個(gè)新目標(biāo)，頻頻爆出遭遇的攻擊，用戶賬戶被盜、用戶數(shù)據(jù)泄露、損失慘重等事件。

在之前的一系列文章中，我們主要講了內(nèi)網(wǎng)滲透的一些知識，而在現(xiàn)實(shí)中，要進(jìn)行內(nèi)網(wǎng)滲透，一個(gè)很重要的前提便是：你得能進(jìn)入內(nèi)網(wǎng)??！所以，從這篇文章開始，我們將開啟Web滲透的學(xué)習(xí)（內(nèi)網(wǎng)滲透系列還會繼續(xù)長期更新哦）。滲透測試，是滲透測試完全模擬hack可能使用的攻擊技術(shù)和漏洞發(fā)現(xiàn)技術(shù)，對目標(biāo)網(wǎng)絡(luò)、主機(jī)、應(yīng)用的安全作深入的探測，幫助企業(yè)挖掘出正常業(yè)務(wù)流程中的安全缺陷和漏洞，助力企業(yè)先于hack發(fā)現(xiàn)安全風(fēng)險(xiǎn)，防患于未然。
Web應(yīng)用的滲透測試流程主要分為3個(gè)階段，分別是：信息收集→漏洞發(fā)現(xiàn)→漏洞利用。本文我們將對信息收集這一環(huán)節(jié)做一個(gè)基本的講解。信息收集介紹進(jìn)行web滲透測試之前，重要的一步那就是就是信息收集了，俗話說“滲透的本質(zhì)也就是信息收集”，信息收集的深度，直接關(guān)系到滲透測試的成敗。打好信息收集這一基礎(chǔ)可以讓測試者選擇合適和準(zhǔn)確的滲透測試攻擊方式，縮短滲透測試的時(shí)間。一般來說收集的信息越多越好，通常包括以下幾個(gè)部分：

同樣地，由于可用的參數(shù)太多，收集數(shù)據(jù)將成為顯而易見的下一步行動。許多企業(yè)的系統(tǒng)支持匿名連接，并且傾向泄漏普通用戶不需要的額外數(shù)據(jù)。另外，許多企業(yè)傾向于存儲可以直接訪問的數(shù)據(jù)。安全人員正在努力應(yīng)對API請求經(jīng)常暴露數(shù)據(jù)存儲位置的挑戰(zhàn)。例如，當(dāng)我查看安全攝像機(jī)中的視頻時(shí)，可以看到該信息來自AmazonS3存儲庫。通常，那些S3存儲庫的保護(hù)并不周全，任何人的數(shù)據(jù)都可以被檢索。
另一個(gè)常見的數(shù)據(jù)挑戰(zhàn)是數(shù)據(jù)過載，很多企業(yè)都像入冬前的花栗鼠，存儲的數(shù)據(jù)量遠(yuǎn)遠(yuǎn)超出了需要。很多過期用戶數(shù)據(jù)已經(jīng)沒有商業(yè)價(jià)值和保存價(jià)值，但是如果發(fā)生泄密，則會給企業(yè)帶來巨大的和合規(guī)風(fēng)險(xiǎn)。解決方法：對于存儲用戶數(shù)據(jù)的企業(yè)，不僅僅是PII或PHI，都必須進(jìn)行徹底的數(shù)據(jù)審查。在檢查了存儲的數(shù)據(jù)之后，應(yīng)制定數(shù)據(jù)訪問規(guī)則并進(jìn)行測試。確保能夠匿名訪問的數(shù)據(jù)不涉及任何敏感數(shù)據(jù)。

修改后臺初始密碼
每個(gè)都有一個(gè)后臺賬戶，用于日常的維護(hù)更新，而很多后臺初始密碼都過于簡單，在拿到后臺管理賬號密碼時(shí)，要先把初始密碼修改掉，帳號密碼要有一定的復(fù)雜度，不要使用域名、年份、姓名、純數(shù)字等元素，要知道密碼越好記也就意味著越容易被攻破。
SINE安全網(wǎng)站漏洞檢測時(shí)必須要人工去審計(jì)漏洞和查找漏洞找出問題所在并修復(fù)漏洞，對各項(xiàng)功能都進(jìn)行了全面的安全檢測。
http://coolerbeats.net