好，第二個的話，就是咱們去做功能測試的話，你要知道你我們經常做的一些測試的策略有哪一些，然后你是從哪些角度去做這一些測試策略的比如說這些測試策略的話有咱們的功能測試，然后 UI 兼容性測試、穩定性測試，那這些東西你如何去做你是如何去實施的，你會從哪些角度去測試，這個也是做做咱們黑盒測試必須要掌握的一個。
啟動一個新是一個令人興奮的項目，充滿了許多重要的步驟和決定。但是，作為的所有者，您不僅要處理被入侵的后果，還要對其頁面上的內容以及人們用來與之交互的機制負責。如果您計劃存儲用戶信息（例如密碼或電話號碼），則必須妥善保護這些數據，否則根據某些法律，您可能會因數據泄露事件而受到罰款。
選擇可靠的主機服務商
在互聯網發展的早期，個人和公司將在本地化的數據中心或辦公室中獲取和維護自己的服務器，而云計算從根本上轉變了這種模式，大多數的現在都是通過第三方提供商托管。云計算降低了所有者的管理成本和責任，也帶來了一些安全問題。如提供商遭受數據泄露或整個數據中心出現故障，您的可能會丟失重要信息，因此，選擇一個可靠的主機服務商至關重要。

能否理解并利用SQL注是區分一般攻擊者和攻擊者的一個標準。面對嚴密禁用詳細錯誤消息的防御，大多數新手會轉向下一目標。但攻破SQL盲注漏洞并非可能，我們可借助很多技術。它們允許攻擊者利用時間、響應和非主流通道（比如DNS)來提取數據。以SQL查詢方式提問一個返回TRUE或FALSE的簡單問題并重復進行上千次，數據庫王國的大門便通常不容易發現SQL盲注漏洞的原因是它們隱藏在暗處。一旦發現漏洞后，我們就會有們能支持多種多樣的數據庫。大量的漏洞可用。要明確什么時候應選擇基于響應而非時間的利用和什么時候使用重量級的非主流通道工具，這些細節可節省不少時間。考慮清楚大多數SQL盲注漏洞的自動化程度后，不管是新手還是，都會有大量的工具可用。它們中有些是圖形化界面，有些是命令行，它有了SQL注入和SQL盲注的基礎知識之后，現在轉向進一步利用漏洞：識別并利用一個不錯的注入點之后，如何快速發現注入并修復漏洞。

中小企業資金匱乏，安全人員稀缺
在 50 人以下的小微企業中，高達 39.8%的企業沒有任何信息安全投入，50~100 人企業中，31.9%的企業沒有任何信息安全投入。因此，對于中小傳統企業用戶而言，本身并沒有過多的技術人員投入，往往等業務系統上線后，就很少關注線上問題。

文檔包含的概念很好理解，編程中經常用到，比如python中的import、c中的include，php當然也不例外。但php“牛逼”的地方在于即使包含的文檔不是php類型，也不會報錯，并且其中包含的php代碼也會執行，這是文檔包含漏洞產生的根本原因。文檔包含漏洞和任意文檔漏洞很相似，只不過一個是解析，一個是。
漏洞利用的幾種方式：1.向服務器寫馬：圖片中寫惡意代碼(結合文檔上傳），錯誤日志寫惡意代碼(錯誤訪問會被記錄到錯誤日志中），session中寫惡意代碼。訪問圖片、日志文檔或session文檔，服務器生成木馬，直接getshell。2.讀取敏感文檔：結合目錄遍歷漏洞讀取敏感文檔。3.偽協議：偽協議可以使用的話，可以嘗試讀取文檔或命令執行。
SINE安全網站漏洞檢測時必須要人工去審計漏洞和查找漏洞找出問題所在并修復漏洞，對各項功能都進行了全面的安全檢測。
http://www.58seesohu.com