好，第三個(gè)的話就是對(duì)白盒測(cè)試，那么非常重要的一點(diǎn)就是你要知道如何去設(shè)計(jì)用例，如何去設(shè)計(jì)用例 好，設(shè)計(jì)用例的話，其實(shí)就是也就是你測(cè)試這個(gè)軟件的一個(gè)非常重要的邏輯思維這個(gè)東西。 因此就是說(shuō)并不是說(shuō)每個(gè)人都能夠隨隨便便去做一做一個(gè)很好的黑盒測(cè)試的工程師。
啟動(dòng)一個(gè)新是一個(gè)令人興奮的項(xiàng)目，充滿了許多重要的步驟和決定。但是，作為的所有者，您不僅要處理被入侵的后果，還要對(duì)其頁(yè)面上的內(nèi)容以及人們用來(lái)與之交互的機(jī)制負(fù)責(zé)。如果您計(jì)劃存儲(chǔ)用戶信息（例如密碼或電話號(hào)碼），則必須妥善保護(hù)這些數(shù)據(jù)，否則根據(jù)某些法律，您可能會(huì)因數(shù)據(jù)泄露事件而受到罰款。
選擇可靠的主機(jī)服務(wù)商
在互聯(lián)網(wǎng)發(fā)展的早期，個(gè)人和公司將在本地化的數(shù)據(jù)中心或辦公室中獲取和維護(hù)自己的服務(wù)器，而云計(jì)算從根本上轉(zhuǎn)變了這種模式，大多數(shù)的現(xiàn)在都是通過(guò)第三方提供商托管。云計(jì)算降低了所有者的管理成本和責(zé)任，也帶來(lái)了一些安全問(wèn)題。如提供商遭受數(shù)據(jù)泄露或整個(gè)數(shù)據(jù)中心出現(xiàn)故障，您的可能會(huì)丟失重要信息，因此，選擇一個(gè)可靠的主機(jī)服務(wù)商至關(guān)重要。

攻擊產(chǎn)業(yè)鏈成熟，攻擊成本極低
目前黑產(chǎn)產(chǎn)業(yè)愈發(fā)成熟，發(fā)起一次網(wǎng)絡(luò)攻擊或入侵的代價(jià)變得非常低廉，如果你在網(wǎng)上搜一搜，就會(huì)發(fā)現(xiàn)，僅需花費(fèi)數(shù)十元，便可以購(gòu)買(mǎi) 50M 的日攻擊服務(wù)。如果包月，費(fèi)用更低，即花費(fèi) 500 元就可以攻擊一個(gè)中小企業(yè)長(zhǎng)達(dá)一個(gè)月。這樣一來(lái)，企業(yè)將面臨的不但是要在應(yīng)用架構(gòu)上花重金配置的安全防護(hù)類(lèi)產(chǎn)品，還需要在安全防護(hù)方面投入運(yùn)維人力，中小企業(yè)根本無(wú)力承擔(dān)，安全成為中小企業(yè)無(wú)法承受之重。

早上，我突然被客戶告知，他部署在云平臺(tái)的服務(wù)器被檢測(cè)到webshell，已經(jīng)查殺了，而且云平臺(tái)檢測(cè)到這個(gè)ip是屬于我公司的，以為是我們公司做了測(cè)試導(dǎo)致的，問(wèn)我這個(gè)怎么上傳的webshell，我當(dāng)時(shí)也是一臉懵逼，我記得很清楚這是我的項(xiàng)目，是我親自測(cè)試的，上傳點(diǎn)不會(huì)有遺漏的，然后開(kāi)始了我的排查隱患工作。
巡檢查殺首先，我明白自己要做的不是找到這個(gè)上傳的位置是哪里出現(xiàn)的，我應(yīng)該登上服務(wù)器進(jìn)行webshel查殺，進(jìn)行巡檢，找找看是否被別人入侵了，是否存在后門(mén)等等情況。雖然報(bào)的是我們公司的ip，萬(wàn)一漏掉了幾個(gè)webshell，被別人上傳成功了沒(méi)檢測(cè)出來(lái)，那服務(wù)器被入侵了如何能行。所以我上去巡檢了服務(wù)器，上傳這個(gè)webshell查殺工具進(jìn)行查殺，使用netstat-anpt和iptables-L判斷是否存在后門(mén)建立，查看是否有程序占用CPU，等等，此處不詳細(xì)展開(kāi)了。萬(wàn)幸的是服務(wù)器沒(méi)有被入侵，然后我開(kāi)始著手思考這個(gè)上傳點(diǎn)是怎么回事。
文檔上傳漏洞回顧首先，我向這個(gè)和我對(duì)接的研發(fā)人員咨詢(xún)這個(gè)服務(wù)器對(duì)外開(kāi)放的，要了之后打開(kāi)發(fā)現(xiàn)，眼熟的不就是前不久自己測(cè)試的嗎？此時(shí)，我感覺(jué)有點(diǎn)懵逼，和開(kāi)發(fā)人員對(duì)質(zhì)起這個(gè)整改信息，上次測(cè)試完發(fā)現(xiàn)這個(gè)上傳的地方是使用了白名單限制，只允許上傳jpeg、png等圖片格式了。當(dāng)時(shí)我還發(fā)現(xiàn)，這個(gè)雖然上傳是做了白名單限制，也對(duì)上傳的文檔名做了隨機(jī)數(shù)，還匹配了時(shí)間規(guī)則，但是我還是在返回包發(fā)現(xiàn)了這個(gè)上傳路徑和文檔名，這個(gè)和他提議要進(jìn)行整改，不然這個(gè)會(huì)造成這個(gè)文檔包含漏洞，他和我反饋這個(gè)確實(shí)進(jìn)行整改了，沒(méi)有返回這個(gè)路徑了。

中小企業(yè)安全防護(hù)薄弱，抗擊打能力不強(qiáng)
據(jù)相關(guān)數(shù)據(jù)顯示，超過(guò) 90%的企業(yè)完全或高度依靠互聯(lián)網(wǎng)開(kāi)展業(yè)務(wù)，科技/互聯(lián)網(wǎng)、金融、電信是對(duì)互聯(lián)網(wǎng)依存度高的行業(yè)，而其中創(chuàng)業(yè)型小微企業(yè)（50 人以?xún)?nèi)）更甚，互聯(lián)網(wǎng)成為這些類(lèi)型企業(yè)發(fā)展的重要根基。而這些企業(yè)，并沒(méi)有的技術(shù)團(tuán)隊(duì)運(yùn)維，往往是交給建站公司管理，或自己租用個(gè)主機(jī)就發(fā)布。
SINE安全網(wǎng)站漏洞檢測(cè)時(shí)必須要人工去審計(jì)漏洞和查找漏洞找出問(wèn)題所在并修復(fù)漏洞，對(duì)各項(xiàng)功能都進(jìn)行了全面的安全檢測(cè)。
http://coolerbeats.net