網站代碼安全審計后，sine安全進行全面的黑箱安全測試，對相應的網站漏洞進行修復，對入侵的痕跡進行分析來制定相應的網站防篡改方案，對重要的登錄頁面，進行二次身份驗證。修復漏洞不單是對BUG的修復，而是跟網站緊密結合在一起，進行行之有效的安全解決方案，即要修復網站的漏洞，也要保證網站的各個功能正常使用，還要保證網站的正常運營
SQL注入漏洞測試方法在程序代碼里不管是get提交，提交，cookies的方式，都可以有隨意控制參數的一個參數值，通過使用sql注入工具，經典的sqlmap進行檢測與漏洞利用，也可以使用一些國內的SQL代碼注入工具，簡單的安全測試方法就是利用數據庫的單引號，AND1=1AND1=2等等的字符型注入來進行測試sql注入漏洞。
SQL注入漏洞解剖在網站的程序代碼里，有很多用戶需要提交的一些參數值，像get、的數據提交的時候，有些程序員沒有對其進行詳細的安全過濾，導致可以直接執行SQL語句，在提交的參數里，可以摻入一些惡意的sql語句命令，比如查詢admin的賬號密碼，查詢數據庫的版本，以及查詢用戶的賬號密碼，執行寫入一句話木馬到數據庫配置文檔，執行系統命令提權，等等.
SQL注入漏洞修復在底層的程序代碼里，進行sql漏洞修補與防護，在代碼里添加過濾一些惡意的參數，服務器端綁定變量，SQL語句標準化，是防止網站被sql注入攻擊的好辦法。Sine安全公司是一家專注于：網站安全、服務器安全、網站安全檢測、網站漏洞修復，滲透測試，安全服務于一體的網絡安全服務提供商。一、程序代碼里的所有查詢語句，使用標準化的數據庫查詢語句API接口，設定語句的參數進行過濾一些惡意的字符，防止用戶輸入惡意的字符傳入到數據庫中執行sql語句。
二、對用戶提交的的參數安全過濾，像一些的字符（，（）*&……%#等等）進行字符轉義操作，以及編碼的安全轉換。三、網站的代碼層編碼盡量統一，建議使用utf8編碼，如果代碼里的編碼都不一樣，會導致一些過濾被直接繞過。四、網站的數據類型，必須確定，是數字型，就是數字型，字符型就是字符型，數據庫里的存儲字段類型也設置為ini型。
五、對用戶的操作權限進行安全限制，普通用戶只給普通權限，管理員后臺的操作權限要放開，盡量減少對數據庫的惡意攻擊。六、網站的報錯信息盡量不要返回給客戶端，比如一些字符錯誤，數據庫的報錯信息，盡可能的防止透露給客戶端。七、如果對網站程序代碼不熟悉的話建議交給做安全的公司處理，國內推薦Sinesafe，綠盟，啟蒙星辰。

國內對滲透測試以及安全評估的研究起步較晚，并且大多集中在在滲透測試技術上的研究，安全評估方面也有部分企業和研宄團體具有系統的評估方式。然而國內對基于滲透測試的自動化集成系統研宄還非常少，從目前的網絡安全態勢來看，傳統的滲透測試方式己經無法滿足現在網站對安全性能的要求，傳統的滲透測試技術和工具都還停留在運用單一滲透測試方法或是單種測試工具，無法全面檢測出網站系統存在的漏洞。

安全對任何企業都至關重要，但相比來說，SAAS業務服務商的需求比普通企業多10倍。
良好的網絡安全性可以為你的員工和內部減少焦慮，從而使他們能夠在每個接觸點為客戶提供好的服務。只有當SAAS服務位客戶創造了價值，和營銷才能協同工作。
企業應該采用佳的Web安全程序，以保護其網絡和基礎架構免受任何針對其產品的無法預見的網絡攻擊。
基于網絡的關鍵網絡攻擊，如加密、MITM、XSS、DOS等，這些攻擊已經在類似商業的市場上造成了足夠的混亂。
分析攻擊及其對市場的影響以及其他競爭對手的安全實踐將有助于組織定義和實施與行業相同的網絡安全防護措施。
AWS和Azure是SAAS產品中的重要組成部分，它們構建了非常好的安全框架，以保護其平臺免受任何潛在的基于Web的威脅。
越來越多的SAAS業務可以研究他們的協議和程序，分析他們存在的原因并相應地定義他們的Web安全性。

接下來我們就要進入到邏輯漏洞的挖掘環節了，大家有沒有一點小期待啊，好了，不扯了，下面我們進入正題。邏輯漏洞是很多的工具所無法發現的，大部分都是手工挖掘出來的。經過測試我們會發現，本網站內商品存在兩項漏洞，總體思路如下：在提交訂單時，后端未校驗用戶購買的數量和前端提交的數量是否一致；第二項，攻擊者可以通過更改購買某一商品，這一產品的數量限制，創建訂單提交支付請求后，使攻擊者即使在未完成訂單支付前，也會扣除商品庫存，使惡意用戶可以無限制下單，導致他人無法參與購買這一產品，惡意用戶也可以將所有商品的庫存為0，使其他用戶購買時，將顯示庫存不足，無常購買。
SINESAFE為了幫助網站維持長的正常運行時間，可以采用冗余性（備份和服務器的失效轉移）來保護網站。備份可以幫助避免客戶端數據的丟失，而備份服務器可以避免服務器遭到徹底毀滅時不用從頭開始構建新的服務器。
http://www.58seesohu.com