許多客戶(hù)在網(wǎng)站，以及APP上線的同時(shí)，都會(huì)提前的對(duì)網(wǎng)站進(jìn)行全面的滲透測(cè)試以及安全檢測(cè)，提前檢測(cè)出存在的網(wǎng)站漏洞，以免后期網(wǎng)站發(fā)展過(guò)程中出現(xiàn)重大的經(jīng)濟(jì)損失，前段時(shí)間有客戶(hù)找到我們SINE安全公司做滲透測(cè)試服務(wù)，在此我們將把對(duì)客戶(hù)的整個(gè)滲透測(cè)試過(guò)程以及安全測(cè)試，發(fā)現(xiàn)的漏洞都記錄下來(lái)，分享給大家，也希望大家更深地去了解滲透測(cè)試。
修改后臺(tái)初始密碼
每個(gè)都有一個(gè)后臺(tái)賬戶(hù)，用于日常的維護(hù)更新，而很多后臺(tái)初始密碼都過(guò)于簡(jiǎn)單，在拿到后臺(tái)管理賬號(hào)密碼時(shí)，要先把初始密碼修改掉，帳號(hào)密碼要有一定的復(fù)雜度，不要使用域名、年份、姓名、純數(shù)字等元素，要知道密碼越好記也就意味著越容易被攻破。

假如你是hack，準(zhǔn)備攻擊一家企業(yè)，那么首先要做的件事就是識(shí)別盡可能多的API。我首先按常規(guī)方式使用目標(biāo)應(yīng)用程序，在瀏覽器中打開(kāi)Web應(yīng)用程序或者在手機(jī)端安裝移動(dòng)應(yīng)用程序，然后使用代理監(jiān)視通信。代理能夠捕獲瀏覽器或移動(dòng)應(yīng)用程序?qū)蠖薟eb服務(wù)器發(fā)出的所有請(qǐng)求，從而使攻擊者可以對(duì)所有可用的API端點(diǎn)進(jìn)行分類(lèi)。例如，大多數(shù)API都將API/V1/login作為身份驗(yàn)證端點(diǎn)。
如果目標(biāo)也是移動(dòng)應(yīng)用程序，則將應(yīng)用程序包拆開(kāi)，并查看應(yīng)用程序內(nèi)部可用的API調(diào)用?？紤]到所有可能的活動(dòng)，攻擊者可以搜索無(wú)確保護(hù)用戶(hù)數(shù)據(jù)的常見(jiàn)配置錯(cuò)誤或API。后，攻擊者尋找API文檔。一些組織為第三方發(fā)布API文檔，但為所有用戶(hù)使用相同的API端點(diǎn)。有了一個(gè)不錯(cuò)的端點(diǎn)清單，攻擊者就可以測(cè)試標(biāo)準(zhǔn)用戶(hù)行為和異常行為測(cè)試，可以通過(guò)兩種方法找到有趣的漏洞。

近年來(lái)，各類(lèi)頻繁遭受攻擊致使網(wǎng)絡(luò)癱瘓、內(nèi)容被篡改，商業(yè)機(jī)密和用戶(hù)隱私被取，使經(jīng)營(yíng)者和用戶(hù)都損失慘重。電商和服務(wù)一直是網(wǎng)絡(luò)攻擊的重災(zāi)區(qū)，京東、當(dāng)當(dāng)網(wǎng)都曾遭受過(guò)攻擊，造成直接經(jīng)濟(jì)損失。
為什么愛(ài)找你的麻煩？
試想當(dāng)你的客戶(hù)訪問(wèn)你的出現(xiàn)這樣的情況，不僅浪費(fèi)優(yōu)化推廣費(fèi)用和人力成本，還有可能對(duì)你的企業(yè)口碑以及造成惡劣的影響！再被一次次打擊的情況下，我們不禁要問(wèn)：為什么愛(ài)找你的麻煩？
程序本身存在漏洞
很多企業(yè)的是在網(wǎng)上下載的開(kāi)源代碼，或隨便找網(wǎng)建公司開(kāi)發(fā)的，程序本身就存在漏洞風(fēng)險(xiǎn)。試想一下，你花請(qǐng)幾百或幾千元做的東西，兩天就出來(lái)了。是菜場(chǎng)買(mǎi)白菜嗎？安全能提高到哪里去？
解決方案：發(fā)現(xiàn)問(wèn)題查找問(wèn)題原因，組織技術(shù)團(tuán)隊(duì)進(jìn)行排查分析。

下面開(kāi)始我們的整個(gè)滲透測(cè)試過(guò)程，首先客戶(hù)授權(quán)我們進(jìn)行網(wǎng)站安全測(cè)試，我們才能放開(kāi)手的去干，首先檢測(cè)的是網(wǎng)站是否存在SQL注入漏洞，我們SINE安全在檢測(cè)網(wǎng)站是否有sql注入的時(shí)候都會(huì)配合查看mysql數(shù)據(jù)庫(kù)的日志來(lái)查詢(xún)我們提交的SQL語(yǔ)句是否成功的執(zhí)行，那么很多人會(huì)問(wèn)該如何開(kāi)啟數(shù)據(jù)庫(kù)的日志，如何查看呢？首先連接linux服務(wù)器的SSH端口，利用root的賬號(hào)密碼進(jìn)服務(wù)器，打開(kāi)mysql的配置文件mysqld.cnf編輯general_log_file=（log日志的），general_log=1，在服務(wù)器里輸入tail -f （log），來(lái)查看實(shí)時(shí)的數(shù)據(jù)庫(kù)語(yǔ)句執(zhí)行日志。當(dāng)我們SINE安全技術(shù)在測(cè)試SQL注入漏洞的時(shí)候，就會(huì)實(shí)時(shí)的看到是否有惡意的SQL語(yǔ)句執(zhí)行成功，如果有那么數(shù)據(jù)庫(kù)日志就會(huì)出現(xiàn)錯(cuò)誤提示，在滲透測(cè)試中是很方便的，也更利于查找漏洞。
SINE安全網(wǎng)站漏洞檢測(cè)時(shí)必須要人工去審計(jì)漏洞和查找漏洞找出問(wèn)題所在并修復(fù)漏洞，對(duì)各項(xiàng)功能都進(jìn)行了全面的安全檢測(cè)。
http://coolerbeats.net