場(chǎng)景：用戶代碼依賴平臺(tái)提供API，運(yùn)行環(huán)境無法使用立的沙箱，用戶代碼不良操作可能會(huì)引起整個(gè)運(yùn)行環(huán)境的異常，從而導(dǎo)致其他用戶代碼運(yùn)行失敗或服務(wù)器崩潰等情況。
未修補(bǔ)漏洞
在應(yīng)用開發(fā)人員尚未發(fā)現(xiàn)新漏洞時(shí)，用戶仍然需要自行與查找，如果發(fā)現(xiàn)新的威脅，應(yīng)該及時(shí)進(jìn)行修復(fù)或通過防火墻阻止，禁用容易受到攻擊的功能與應(yīng)用，直到補(bǔ)丁修復(fù)完成。

服務(wù)器的后門木馬查殺360殺毒，并更新木馬庫，對(duì)服務(wù)器進(jìn)行全面的安全檢測(cè)與掃描，修復(fù)系統(tǒng)補(bǔ)丁，對(duì)網(wǎng)站的代碼進(jìn)行人工的安全檢測(cè)，對(duì)網(wǎng)站漏洞的檢測(cè)，網(wǎng)站木馬后門的檢測(cè)，也可以使用webshell查殺工具來進(jìn)行查殺，重要的是木馬規(guī)則庫。網(wǎng)站日志，服務(wù)器日志一定要提前開啟，開啟審核策略，包括一些服務(wù)器系統(tǒng)的問題，安裝的軟件出錯(cuò)，管理員操作日志，登錄服務(wù)器日志，以便方便后期出現(xiàn)服務(wù)器被黑事件，可以進(jìn)行分析查找并溯源。網(wǎng)站的日志也要開啟，IIS下開啟日志記錄，apache等環(huán)境請(qǐng)直接在配置文檔中進(jìn)行日志的開啟與日志路徑配置。以上就是服務(wù)器被黑，該如何的查找被黑的痕跡，下一篇會(huì)跟大家講如何更好的做好服務(wù)器的署。

管理內(nèi)部人員威脅
很多公司都意識(shí)到，員工滿懷怨恨地離開或被競(jìng)爭(zhēng)對(duì)手招募時(shí)，就會(huì)產(chǎn)生內(nèi)部人威脅風(fēng)險(xiǎn)：他們可能會(huì)利用手中的網(wǎng)絡(luò)訪問權(quán)加以，或?yàn)樾鹿椭饔杏脭?shù)據(jù)。撤銷該員工的訪問憑證應(yīng)成為降低此類風(fēng)險(xiǎn)的首要?jiǎng)幼鳌?br/>不過，還有個(gè)不太明顯但同樣危險(xiǎn)的時(shí)刻，那就是新員工入職的時(shí)候。人力資源部門當(dāng)然會(huì)對(duì)員工履歷做盡職調(diào)查，但他們未必會(huì)注意到該員工的所有關(guān)系或動(dòng)機(jī)。業(yè)務(wù)風(fēng)險(xiǎn)情報(bào)可提供此類信息，防止惡意人員進(jìn)入公司。幾年前有家財(cái)富 500 強(qiáng)公司就遭遇了此類風(fēng)險(xiǎn)。當(dāng)時(shí)一名擬錄用的員工被發(fā)現(xiàn)與招募內(nèi)部人企業(yè)數(shù)據(jù)以作勒索的罪犯有聯(lián)系。一旦注意到該威脅，企業(yè)便可拒絕相關(guān)人士入職，并強(qiáng)化針對(duì)此類攻擊模式的安全防御。
新產(chǎn)品發(fā)布時(shí)也是公司的高風(fēng)險(xiǎn)期。知識(shí)產(chǎn)權(quán)代表著公司 80% 的價(jià)值，所以知識(shí)產(chǎn)權(quán)失可能招致災(zāi)難性后果。公司雇員自然擁有公司商業(yè)秘密和產(chǎn)品信息訪問權(quán)，少數(shù)情況下，這種會(huì)誘人犯罪。但真要有員工起了壞心了公司知識(shí)產(chǎn)權(quán)，他們還需要找到的渠道，而這往往涉及 DDW 或其他買賣被盜資產(chǎn)的非法在線社區(qū)。
近的案例中，F(xiàn)lashpoint 分析師在某網(wǎng)絡(luò)犯罪論壇上看到某跨國(guó)科技公司尚未發(fā)布的軟件源代碼遭掛牌出售。分析確認(rèn)該源代碼泄露的源頭就是該公司一名雇員，而接到通告后，該公司得以終止與該流氓雇員的合約，并采取補(bǔ)救措施保護(hù)了那款產(chǎn)品。其中關(guān)鍵在于，若非網(wǎng)絡(luò)罪犯在 DDW 上為該來路不正的軟件打出售賣廣告，這名流氓雇員確實(shí)成功繞過了內(nèi)部檢測(cè)。在業(yè)務(wù)風(fēng)險(xiǎn)情報(bào)提供的上下文幫助下，很多雇員當(dāng)時(shí)看似無害的行為無疑可從另一個(gè)不同角度解讀。

目前移動(dòng)互聯(lián)網(wǎng)中，區(qū)塊鏈的網(wǎng)站越來越多，在區(qū)塊鏈安全上，很多都存在著網(wǎng)站漏洞，區(qū)塊鏈的提幣，會(huì)員賬號(hào)的存儲(chǔ)性XSS截取漏洞，賬號(hào)安全，等等關(guān)于這些區(qū)塊鏈的漏洞，我們SINE安全對(duì)其進(jìn)行了整理與總結(jié)。目前整個(gè)區(qū)塊鏈網(wǎng)站安全市場(chǎng)的需求是蠻大的，很多區(qū)塊鏈網(wǎng)站，也叫數(shù)字平臺(tái)，以及數(shù)字，虛擬錢包，區(qū)塊鏈錢包，整體上的區(qū)塊鏈網(wǎng)站架構(gòu)是分5個(gè)層，一層是區(qū)塊鏈的應(yīng)用層：分發(fā)行機(jī)制，分配機(jī)制。第二層是激勵(lì)層，第三層是共識(shí)層：POW，第四層是P2P網(wǎng)絡(luò)，區(qū)塊鏈傳播機(jī)制，安全驗(yàn)證機(jī)制。第五層就是數(shù)據(jù)層：分區(qū)塊數(shù)據(jù)，鏈?zhǔn)浇Y(jié)構(gòu)，數(shù)字簽名，哈希函數(shù)，Merkle樹，非對(duì)稱加密。
在我們SINE安全對(duì)區(qū)塊鏈網(wǎng)站進(jìn)行安全檢測(cè)，與安全滲透的過程中，發(fā)現(xiàn)很多網(wǎng)站漏洞，針對(duì)于區(qū)塊鏈漏洞我們總結(jié)如下：一般出現(xiàn)網(wǎng)站漏洞的地方存在于網(wǎng)站的邏輯漏洞，在會(huì)員注冊(cè)，會(huì)員登錄，區(qū)塊鏈管理：像充幣，轉(zhuǎn)幣，提幣。委托交易，買入賣出（法幣，，usdt等等）賬戶的密碼安全（密碼，手機(jī)短信驗(yàn)證），第三方支付平臺(tái)（API接口支付）。在實(shí)際安全測(cè)試當(dāng)中，比較容易發(fā)現(xiàn)的漏洞如下：
問題秒解決,嚴(yán)謹(jǐn),耐心細(xì)致.  重要一點(diǎn)是有緊急問題能及時(shí)到位解決,  這點(diǎn)我很踏實(shí).  因?yàn)楹献?開始對(duì)其技術(shù)還持懷疑,  不太接受包年付費(fèi),  事后遠(yuǎn)遠(yuǎn)超出預(yù)期,  第二天就毅然確認(rèn)包年付費(fèi)了.
http://coolerbeats.net