在搭建一個(gè)合理的安全檢測(cè)流程時(shí)，不能直接進(jìn)入對(duì)代碼分析的階段，在此之前搞清楚用戶代碼生命周期涉及的各個(gè)階段是必要的，只有充分了解被檢測(cè)對(duì)象和檢測(cè)目標(biāo)的基礎(chǔ)上，才能給出一個(gè)合理的流程：
在對(duì)網(wǎng)站程序代碼的安全檢測(cè)當(dāng)中，網(wǎng)站文檔任意查看漏洞在整個(gè)網(wǎng)站安全報(bào)告中屬于比較高危的網(wǎng)站漏洞，一般網(wǎng)站里都會(huì)含有這種漏洞，尤其平臺(tái)，商城，交互類的網(wǎng)站較多一些，像普通權(quán)限繞過漏洞，導(dǎo)致的就是可以查看到網(wǎng)站里的任何一個(gè)文檔，甚至可以查看到網(wǎng)站的配置文檔config等等。我們SINE安全公司在對(duì)gitea開源程序代碼進(jìn)行網(wǎng)站安全檢測(cè)的時(shí)候發(fā)現(xiàn)存在網(wǎng)站文檔任意查看漏洞，沒有授權(quán)的任意一個(gè)用戶的賬號(hào)都可以越權(quán)創(chuàng)建gitea的lfs對(duì)象，這個(gè)對(duì)象通俗來講就是可以利用gitea代碼里寫好的第三方api借口，進(jìn)行訪問，可以實(shí)現(xiàn)如下功能：讀取文檔，上傳文檔，列目錄等等的一些讀寫分離操作。

域名
簡(jiǎn)單來說，相當(dāng)于一個(gè)家庭的門牌號(hào)碼，別人通過這個(gè)號(hào)碼可以很容易的找到你。這也意味著在全世界是沒有重復(fù)域名的。國(guó)際域名格式大致是這樣的，域名由各國(guó)文字的特定字符集、英文字母、數(shù)字及“-”(即連字符或減號(hào))任意組合而成, 但開頭及結(jié)尾均不能含有“-”。 域名中字母不分大小寫。域名長(zhǎng)可達(dá)67個(gè)字節(jié)(包括后綴.com、.net、.org等)。

國(guó)家有關(guān)部門已就加強(qiáng)數(shù)據(jù)安全管理和保護(hù)采取行動(dòng)。今年以來，網(wǎng)信辦、工業(yè)和信息化部、、國(guó)家市場(chǎng)監(jiān)督管理總局等四部門，針對(duì)部分App違法違規(guī)收集使用開展專項(xiàng)治理。國(guó)家網(wǎng)信辦副劉烈宏表示，針對(duì)數(shù)據(jù)安全領(lǐng)域存在的突出問題，網(wǎng)信辦會(huì)同相關(guān)部門將繼續(xù)加強(qiáng)完善各項(xiàng)法規(guī)制度和標(biāo)準(zhǔn)規(guī)范，形成法規(guī)性防護(hù)機(jī)制和體系。

網(wǎng)站安全維護(hù)當(dāng)中，程序代碼的設(shè)計(jì)邏輯漏洞，以及用戶權(quán)限越權(quán)漏洞是比較常見的，在許許多多的電商以及APP網(wǎng)站里，很多前端業(yè)務(wù)需要處理的部分驗(yàn)證了用戶的登錄狀態(tài)，并沒有詳細(xì)的對(duì)后面的一些功能以及業(yè)務(wù)的處理進(jìn)行用戶權(quán)限的安全判斷，導(dǎo)致發(fā)生一些管理員用戶權(quán)限操作的業(yè)務(wù)，可以用普通用戶權(quán)限去執(zhí)行，導(dǎo)致網(wǎng)站越權(quán)漏洞的發(fā)生。
Sine是合作過的真實(shí)力的服務(wù)器安全方面的安全公司。
http://coolerbeats.net