許多客戶在網(wǎng)站，以及APP上線的同時，都會提前的對網(wǎng)站進(jìn)行全面的滲透測試以及安全檢測，提前檢測出存在的網(wǎng)站漏洞，以免后期網(wǎng)站發(fā)展過程中出現(xiàn)重大的經(jīng)濟(jì)損失，前段時間有客戶找到我們SINE安全公司做滲透測試服務(wù)，在此我們將把對客戶的整個滲透測試過程以及安全測試，發(fā)現(xiàn)的漏洞都記錄下來，分享給大家，也希望大家更深地去了解滲透測試。
命令執(zhí)行的漏洞。應(yīng)用程序的某些函數(shù)需要調(diào)用可以執(zhí)行系統(tǒng)命令的函數(shù)。如果這些功能或者功能的參數(shù)可以被用戶控制，那么惡意的命令就有可能通過命令連接器拼接成正常的功能，從而可以隨意執(zhí)行系統(tǒng)命令。這就是命令執(zhí)行漏洞，這是高風(fēng)險漏洞之一。

其實從開發(fā)的角度，如果要保證代碼至少在邏輯方面沒有明顯的漏洞，還是有些繁瑣的。舉個簡單的例子，如網(wǎng)站的數(shù)據(jù)檢驗功能，不允許前端提交不符合當(dāng)前要求規(guī)范的數(shù)據(jù)（比如年齡文本框部分不能提交字母）。那么為了實現(xiàn)這個功能，首先開發(fā)者肯定要在前端實現(xiàn)該功能，直接在前端阻止用戶提交不符規(guī)范的數(shù)據(jù)，否則用戶體驗會很差，且占用服務(wù)器端的資源。
但是沒有安全意識或覺得麻煩的開發(fā)者就會僅僅在前端用Js進(jìn)行校驗，后端沒有重復(fù)進(jìn)行校驗。這樣就很容易給惡意用戶機(jī)會：比如不通過前端頁面，直接向后端接口發(fā)送數(shù)據(jù)：或者，前端代碼編寫不規(guī)范，用戶可以直接在瀏覽器控制臺中用自己寫的Js代碼覆蓋原有的Js代碼；或者，用戶還可以直接在瀏覽器中禁用Js；等等。總之，前端的傳過來的數(shù)據(jù)可信度基本上可以認(rèn)為比較低，太容易被利用了。
而我的思路都是很簡單的，就是關(guān)注比較重要的幾個節(jié)點，看看有沒有可乘之機(jī)。如登錄、權(quán)限判定、數(shù)據(jù)加載等前后，對方是怎么做的，用了什么樣的技術(shù)，有沒有留下很明顯的漏洞可以讓我利用。像這兩個網(wǎng)站，加載的Js文檔都沒有進(jìn)行混淆，注釋也都留著，還寫得很詳細(xì)。比較湊巧的是，這兩個網(wǎng)站都用到了比較多的前端的技術(shù)，也都用到了sessionStorage。

插件技術(shù)的本質(zhì)是通過APP軟件的重要函數(shù)，模擬APP客戶端，欺服務(wù)器發(fā)送虛假數(shù)據(jù)的手段。例如，瘋狂的紅包軟件，其原理是利用HOOK技術(shù)紅包函數(shù)，制作插件與APP函數(shù)對接，達(dá)到插件的目的，一些大型APP軟件具有HOOK識別機(jī)制，但大多數(shù)APP仍然沒有保護(hù)的概念。解決方案:混淆或加密關(guān)鍵函數(shù)或代碼執(zhí)行過程。

修改后臺初始密碼
每個都有一個后臺賬戶，用于日常的維護(hù)更新，而很多后臺初始密碼都過于簡單，在拿到后臺管理賬號密碼時，要先把初始密碼修改掉，帳號密碼要有一定的復(fù)雜度，不要使用域名、年份、姓名、純數(shù)字等元素，要知道密碼越好記也就意味著越容易被攻破。
SINE安全網(wǎng)站漏洞檢測時必須要人工去審計漏洞和查找漏洞找出問題所在并修復(fù)漏洞，對各項功能都進(jìn)行了全面的安全檢測。
http://www.58seesohu.com