SINE安全對網站漏洞檢測具有的安全技術人員，而且完全不依靠軟件去掃描，所有漏洞檢測服務都是由我們人工去檢測，比如對代碼進行審計，以及都每個網站或APP的功能進行單的詳細測試，如跨權限漏洞，支付漏洞繞過，訂單價格被篡改，或訂單支付狀態之類的，或會員找回密碼這里被強制找回等，還有一些邏輯漏洞，上傳漏洞，垂直權限漏洞等等。
應對措施：文檔上傳的繞過方法網上一搜有很多（比如upload-labs的各種方法、繞防火墻的各種方法（雖然很多已經過時），可能還有些沒有公開的方法，總結一下：1.常規的繞過方法：文檔后綴（大小寫、文檔別名等等）、文檔名（文檔名加分號、引號等等）、文檔內容（比如圖片馬）、請求包結構等等。
2.結合服務器解析漏洞：IIS、apache、nginx的特定版本都有對應的解析漏洞。3.利用文檔包含漏洞：如果有文檔包含漏洞，可以結合文檔包含漏洞，上傳馬。4.利用組件漏洞：如果知道組件版本和名稱，可以網上找一下相應漏洞。注：手動一個一個去試各種方法，的確很麻煩，可以試試burpsuit的上傳插件upload-scanner(但本人覺得并不好用）。

文檔包含的概念很好理解，編程中經常用到，比如python中的import、c中的include，php當然也不例外。但php“牛逼”的地方在于即使包含的文檔不是php類型，也不會報錯，并且其中包含的php代碼也會執行，這是文檔包含漏洞產生的根本原因。文檔包含漏洞和任意文檔漏洞很相似，只不過一個是解析，一個是。
漏洞利用的幾種方式：1.向服務器寫馬：圖片中寫惡意代碼(結合文檔上傳），錯誤日志寫惡意代碼(錯誤訪問會被記錄到錯誤日志中），session中寫惡意代碼。訪問圖片、日志文檔或session文檔，服務器生成木馬，直接getshell。2.讀取敏感文檔：結合目錄遍歷漏洞讀取敏感文檔。3.偽協議：偽協議可以使用的話，可以嘗試讀取文檔或命令執行。

開源IDS系統有很多種，比較有名的系統有Snort、Suricata、Zeek等，我們選用Suricata是因為Suricata有多年的發展歷史，沉淀了的各種威脅檢測規則，新版的Suricata3與DPDK相結合，處理大級別的數據分析，Suricata支持Lua語言工具支持，可以通過Lua擴展對分析的各種實用工具。
Suricata與Graylog結合的原因，是因為在Graylog開源社區版本對用數據的數據處理量沒有上限限制，可以擴展很多的結點來擴展數據存儲的空間和瞬時數據處理的并發能力。Suricata在日志輸出方面，可以將日志的輸出，輸出成標準的JSON格式，通過日志腳本收集工具，可以將日志數據推送給Graylog日志收集服務，Graylog只要對應創建日志截取，就可以對JSON日志數據，進行實時快速的收集與對日志數據結構化和格式化。將JSON按Key和Value的形式進行拆分，然后保存到ElasticSearch數據庫中，并提供一整套的查詢API取得Suricata日志輸出結果。
在通過API取得數據這種形式以外，Graylog自身就已經支持了插件擴展，數據面板，數據查詢前臺，本地化業務查詢語言，類SQL語言。通過開源IDS與開源SIEM結合，用Suricata分析威脅產生日志，用Graylog收集威脅事件日志并進行管理分析，可以低成本的完成威脅事件分析檢測系統，本文的重點還在于日志收集的實踐，檢測規則的創建為說明手段。
Suricata經過多年發展沉淀了很多有價值的威脅檢測規則策略，當然誤報的情況也是存在的，但可能通過手動干預Surcicata的規則，通過日志分析后，迭代式的規則，讓系統隨著時間生長更完善，社區也提供了可視化的規則管理方案，通過后臺管理方式管理Suricata檢測規則，規則編輯本文只是簡單介紹。Scirius就是一種以Web界面方式的Suricata規則管理工具，可視化Web操作方式進行管理Suricata規則管理。

近，攻擊者接管賬戶的嘗試在不斷增加。錯誤消息過于“詳細周到”，往往使此類攻擊更加容易。冗長的錯誤消息會引導攻擊者了解他們需要進行哪些更改才能偽裝成合法請求。API專為低負載下的高速交易而設計，使攻擊者可以使用高性能系統找出有效賬戶，然后嘗試登錄并更改密碼進行利用。解決方法：不要拿用戶體驗作為擋牌，有些看起來有利于用戶體驗的做法，未必有利于安全性。系統返回的錯誤信息不應該包括錯誤的用戶名或錯誤的密碼，甚至不能包含錯誤信息的類別（用戶名還是密碼錯誤）。用于查詢數據的錯誤消息也是如此，如果查詢/搜索格式不正確或由于某種原因而無法執行，則應該返回“沒有營養”的錯誤信息：“糟糕，哪里出錯了”。
SINE安全網站漏洞檢測時必須要人工去審計漏洞和查找漏洞找出問題所在并修復漏洞，對各項功能都進行了全面的安全檢測。
http://www.58seesohu.com