許多客戶在網(wǎng)站，以及APP上線的同時，都會提前的對網(wǎng)站進行全面的滲透測試以及安全檢測，提前檢測出存在的網(wǎng)站漏洞，以免后期網(wǎng)站發(fā)展過程中出現(xiàn)重大的經(jīng)濟損失，前段時間有客戶找到我們SINE安全公司做滲透測試服務，在此我們將把對客戶的整個滲透測試過程以及安全測試，發(fā)現(xiàn)的漏洞都記錄下來，分享給大家，也希望大家更深地去了解滲透測試。
添加軟件防火墻
基于Web的防火墻解決方案可以監(jiān)視傳入連接并阻止可能具有威脅性的連接。管理防火墻是一項持續(xù)的活動，必須確保打開正確的端口并允許在開放的互聯(lián)網(wǎng)上運行，同時持續(xù)Web服務器訪問流量并根據(jù)網(wǎng)絡威脅級別實時調(diào)整防護策略。
維護備份策略
服務器備份對于保持安全至關重要。在代碼級別，數(shù)據(jù)應通過配置系統(tǒng)進行管理，隨時跟蹤每個更改并隨時間存儲版本記錄，如發(fā)現(xiàn)安全漏洞便可及時修補。在數(shù)據(jù)庫層，如果不是更頻繁，則應至少每天記錄完整快照備份，具體取決于發(fā)生的更改和添加類型。另外保持備份副本安全也非常重要，佳做法是在云環(huán)境中保留一組備份，在本地辦公室的硬件上保留另一組備份。
使用HTTPS協(xié)議
HTTPS是以安全為目標的HTTP通道，簡單講是HTTP的安全版。HTTP下加入SSL層，是數(shù)據(jù)傳輸?shù)陌踩A。使用HTTPS協(xié)議，可以加密會員登錄的賬號密碼，進而保護用戶隱私。

那如果說我我把這個計算器這個軟件給到你，然后我跟你說，你把這個計算機上面所有的功能給我測一遍，確保它的功能是沒有問題的，沒有問題之后，我們就可以把這個軟件去給用戶進行交付了。 如果大家想要對自己的網(wǎng)站或APP進行黑盒功能測試的話可以向網(wǎng)站安全公司尋求服務，國內(nèi)SINESAFE,鷹盾安全，綠盟，啟明星辰，都是做的比較好的安全公司。

許多開發(fā)人員認為APP移動軟件安全性高，不太重視客戶端的安全。出乎意料的是，滲透方式的方法超出了想象。通常，他們會編譯APP軟件可以閱讀的代碼，從中提取敏感的信息，如通信密鑰、客戶加密算法、常量數(shù)據(jù)等。擁有這些重要數(shù)據(jù)后，根據(jù)數(shù)據(jù)通信協(xié)議進行網(wǎng)絡滲透，侵入服務器。解決方案:一定要混淆、分割、重組重要信息，安全無小事。如果開發(fā)團隊不太了解如何操作，請與我們商量，對APP進行全面的安全評價，以的想法對軟件運行的各個環(huán)節(jié)進行滲透型測試攻擊，挖掘APP存在的漏洞和風險。

近，攻擊者接管賬戶的嘗試在不斷增加。錯誤消息過于“詳細周到”，往往使此類攻擊更加容易。冗長的錯誤消息會引導攻擊者了解他們需要進行哪些更改才能偽裝成合法請求。API專為低負載下的高速交易而設計，使攻擊者可以使用高性能系統(tǒng)找出有效賬戶，然后嘗試登錄并更改密碼進行利用。解決方法：不要拿用戶體驗作為擋牌，有些看起來有利于用戶體驗的做法，未必有利于安全性。系統(tǒng)返回的錯誤信息不應該包括錯誤的用戶名或錯誤的密碼，甚至不能包含錯誤信息的類別（用戶名還是密碼錯誤）。用于查詢數(shù)據(jù)的錯誤消息也是如此，如果查詢/搜索格式不正確或由于某種原因而無法執(zhí)行，則應該返回“沒有營養(yǎng)”的錯誤信息：“糟糕，哪里出錯了”。
SINE安全網(wǎng)站漏洞檢測時必須要人工去審計漏洞和查找漏洞找出問題所在并修復漏洞，對各項功能都進行了全面的安全檢測。
http://www.58seesohu.com