關于黑盒測試中的業務功能安全測試，個如果說你是去做那種性比較強的這一種業務，比如說咱們的這一個銀行類的金融類的這些業務，那么它可能個要求就是你要有這個什么業務能力。 因為有時候一些復雜的業務的話，并不是說如果說以前你沒做的話，他可能就光這個業務的培訓那就要給你來個三個月或甚至半年的一個時間，因此說對于這一種業務能力要求比較高的這種項目或者企業里面去招人的話，他個看中或者說他有一個硬性的要求，就是說你有沒有做過相關的這一些產品，如果做過的話，這一類人員他是優先的。
修改后臺初始密碼
每個都有一個后臺賬戶，用于日常的維護更新，而很多后臺初始密碼都過于簡單，在拿到后臺管理賬號密碼時，要先把初始密碼修改掉，帳號密碼要有一定的復雜度，不要使用域名、年份、姓名、純數字等元素，要知道密碼越好記也就意味著越容易被攻破。

接下來還得檢測網站的各項功能以及APP功能是否存在邏輯漏洞，越權漏洞，水平垂直等等，我們SINE安全技術詳細的對每一個功能都測試很多遍，一次，兩次，多次的反復進行，在用戶重置密碼功能這里發現有漏洞，正常功能代碼設計是這樣的流程，首先會判斷用戶的賬號是否存在，以及下一步用戶的是否與數據庫里的一致，這里簡單地做了一下安全校驗，但是在獲取驗證碼的時候并沒有做安全校驗，導致可以post數據包，將為任意來獲取驗證碼，利用驗證碼來重置密碼。

假如你是hack，準備攻擊一家企業，那么首先要做的件事就是識別盡可能多的API。我首先按常規方式使用目標應用程序，在瀏覽器中打開Web應用程序或者在手機端安裝移動應用程序，然后使用代理監視通信。代理能夠捕獲瀏覽器或移動應用程序對后端Web服務器發出的所有請求，從而使攻擊者可以對所有可用的API端點進行分類。例如，大多數API都將API/V1/login作為身份驗證端點。
如果目標也是移動應用程序，則將應用程序包拆開，并查看應用程序內部可用的API調用。考慮到所有可能的活動，攻擊者可以搜索無確保護用戶數據的常見配置錯誤或API。后，攻擊者尋找API文檔。一些組織為第三方發布API文檔，但為所有用戶使用相同的API端點。有了一個不錯的端點清單，攻擊者就可以測試標準用戶行為和異常行為測試，可以通過兩種方法找到有趣的漏洞。

應對措施：文檔上傳的繞過方法網上一搜有很多（比如upload-labs的各種方法、繞防火墻的各種方法（雖然很多已經過時），可能還有些沒有公開的方法，總結一下：1.常規的繞過方法：文檔后綴（大小寫、文檔別名等等）、文檔名（文檔名加分號、引號等等）、文檔內容（比如圖片馬）、請求包結構等等。
2.結合服務器解析漏洞：IIS、apache、nginx的特定版本都有對應的解析漏洞。3.利用文檔包含漏洞：如果有文檔包含漏洞，可以結合文檔包含漏洞，上傳馬。4.利用組件漏洞：如果知道組件版本和名稱，可以網上找一下相應漏洞。注：手動一個一個去試各種方法，的確很麻煩，可以試試burpsuit的上傳插件upload-scanner(但本人覺得并不好用）。
SINE安全網站漏洞檢測時必須要人工去審計漏洞和查找漏洞找出問題所在并修復漏洞，對各項功能都進行了全面的安全檢測。
http://www.58seesohu.com