報告模塊：報告模塊提供生成一個詳細的報告的選項，漏洞的列表，圖形報表等不同類型的報告。
WebScarab它可以分析使用HTTP 和HTTPS協(xié)議進行通信的應用程序，WebScarab可以用簡單地形式記錄它觀察的會話，并允許操作人員以各種方式觀查會話。如果你需要觀察一個基于HTTP(S)應用程序的運行狀態(tài)，那么WebScarabi就可以滿足你這種需要。不管是幫助開發(fā)人員調試其它方面的難題，還是允許安全人員識別漏洞，它都是一款不錯的工具。

XSS跨站腳本。檢測Web網(wǎng)站是否存在XSS跨站腳本漏洞，如果存在該漏洞，網(wǎng)站可能遭受Cookie欺、網(wǎng)頁掛馬等攻擊。網(wǎng)頁掛馬。檢測Web網(wǎng)站是否被或惡意攻擊者非法植入了木馬程序。

弱口令。檢測Web網(wǎng)站的后臺管理用戶，以及前臺用戶，是否存在使用弱口令的情況。

網(wǎng)站安全是整個網(wǎng)站運營中重要的一部分，網(wǎng)站沒有了安全，那用戶的隱私如何**，在網(wǎng)站中進行的任何交易，支付，用戶的注冊信息都就沒有了安全**，所以網(wǎng)站安全做好了，才能更好的去運營一個網(wǎng)站，我們SINE安全在對客戶進行網(wǎng)站署與檢測的同時，發(fā)現(xiàn)網(wǎng)站的業(yè)務邏輯漏洞很多，尤其暴利解析漏洞。網(wǎng)站安全里的用戶密碼暴利解析，是目前業(yè)務邏輯漏洞里出現(xiàn)比較多的一個網(wǎng)站漏洞，其實強制解析簡單來說就是利用用戶的弱口令，比如123456，111111，22222，admin等比較常用的密碼，來進行猜測并嘗試登陸網(wǎng)站進行用戶密碼登陸，這種攻擊方式
如果網(wǎng)站在設計當中沒有設計好的話，后期會給網(wǎng)站服務器后端帶來很大的壓力，可以給網(wǎng)站造成打不開，以及服務器癱瘓等影響，甚至有些強制解析會利用工具，進行自動化的模擬攻擊，線程可以開到100-1000瞬時間就可以把服務器的CPU搞爆，大大的縮短了強制解析的時間甚至有時幾分鐘就可以解析用戶的密碼。在我們SINE安全對客戶網(wǎng)站漏洞檢測的同時，我們都會去從用戶的登錄，密碼找回，用戶注冊，二級密碼等等業(yè)務功能上去進行安全檢測，通過我們十多年來的安全檢測經(jīng)驗，我們來簡單的介紹一下。
首先我們來看下，強制解析的模式，分身份驗證碼模塊暴利解析，以及無任何防護，IP鎖定機制，不間斷撞庫，驗證碼又分圖片驗證碼，短信驗證碼，驗證碼的安全繞過，手機短信驗證碼的爆密與繞過等等幾大方面。無任何防護的就是網(wǎng)站用戶在登錄的時候并沒有限制用戶錯誤登錄的次數(shù)，以及用戶注冊的次數(shù)，重置密碼的吃書，沒有用戶登錄驗證碼，用戶密碼沒有MD5加密，這樣就是無任何的安全防護，導致攻擊者可以趁虛而入，強制解析一個網(wǎng)站的用戶密碼變的十分簡單。
IP鎖定機制就是一些網(wǎng)站會采用一些安全防護措施，當用戶登錄網(wǎng)站的時候，登錄錯誤次數(shù)超過3次，或者10次，會將該用戶賬號鎖定并鎖定該登錄賬戶的IP，IP鎖定后，該攻擊者將無法登錄網(wǎng)站。驗證碼解析與繞過，在整個網(wǎng)站安全檢測當中很重要，一般驗證碼分為手機短信驗證碼，微信驗證碼，圖片驗證碼，網(wǎng)站在設計過程中就使用了驗證碼安全機制，但是還是會繞過以及暴利解析，有些攻擊軟件會自動的識別驗證碼，目前有些驗證碼就會使用一些拼圖，以及字體，甚至有些驗證碼輸入一次就可以多次使用，驗證碼在效驗的時候并沒有與數(shù)據(jù)庫對比，導致被繞過。
關于網(wǎng)站出現(xiàn)邏輯漏洞該如何修復漏洞呢？首先要設計好IP鎖定的安全機制，當攻擊者在嘗試登陸網(wǎng)站用戶的時候，可以設定一分鐘登陸多少次，登陸多了就鎖定該IP，再一個賬戶如果嘗試一些操作，比如找回密碼，找回次數(shù)過多，也會封掉該IP。驗證碼識別防護，增加一些語音驗證碼，字體驗證碼，拼圖下拉驗證碼，需要人手動操作的驗證碼，短信驗證碼一分鐘只能獲取一次驗證碼。驗證碼的生效時間安全限制，無論驗證碼是否正確都要一分鐘后就過期，不能再用。所有的用戶登錄以及注冊，都要與后端服務器進行交互，包括數(shù)據(jù)庫服務器。
公司掃描的漏洞更齊全從這個安全隱患上就可以看出，公司之所以在市場中存在，就是可以為很多企業(yè)提供云漏掃的解決方案，不僅可以及時發(fā)現(xiàn)問題所在，而在掃描過程中也可以通過高科技的方式進行掃描，對于企業(yè)來說不會存在任何的危害，所以企業(yè)也都可以放心的進行選擇。
http://coolerbeats.net