許多客戶在網站，以及APP上線的同時，都會提前的對網站進行全面的滲透測試以及安全檢測，提前檢測出存在的網站漏洞，以免后期網站發展過程中出現重大的經濟損失，前段時間有客戶找到我們SINE安全公司做滲透測試服務，在此我們將把對客戶的整個滲透測試過程以及安全測試，發現的漏洞都記錄下來，分享給大家，也希望大家更深地去了解滲透測試。
中小企業資金匱乏，安全人員稀缺
在 50 人以下的小微企業中，高達 39.8%的企業沒有任何信息安全投入，50~100 人企業中，31.9%的企業沒有任何信息安全投入。因此，對于中小傳統企業用戶而言，本身并沒有過多的技術人員投入，往往等業務系統上線后，就很少關注線上問題。

大多數開發人員沒有安全意識，其中軟件開發公司更嚴重。他們專注于實現客戶的需求，不考慮現在的代碼是否有安全上的危險。在生產軟件的同時，也生產脆弱性，沒有任何軟件是的，沒有脆弱性。因此，建議網絡安全技術人員對代碼進行安全審計，挖掘漏洞，避免風險。無論是大型軟件還是小型軟件，安全穩定都是APP運營的標準。否則，即使是更好的商業模式也無法忍受網絡攻擊的推敲。大型軟件受到競爭對手和黑產組織的威脅，小型軟件通過掃描式隨機攻擊侵入服務器，稍有疏忽的平臺被利用。

應對措施：文檔上傳的繞過方法網上一搜有很多（比如upload-labs的各種方法、繞防火墻的各種方法（雖然很多已經過時），可能還有些沒有公開的方法，總結一下：1.常規的繞過方法：文檔后綴（大小寫、文檔別名等等）、文檔名（文檔名加分號、引號等等）、文檔內容（比如圖片馬）、請求包結構等等。
2.結合服務器解析漏洞：IIS、apache、nginx的特定版本都有對應的解析漏洞。3.利用文檔包含漏洞：如果有文檔包含漏洞，可以結合文檔包含漏洞，上傳馬。4.利用組件漏洞：如果知道組件版本和名稱，可以網上找一下相應漏洞。注：手動一個一個去試各種方法，的確很麻煩，可以試試burpsuit的上傳插件upload-scanner(但本人覺得并不好用）。

1.注入漏洞。由于其普遍性和嚴重性，注入漏洞在Web0漏洞中始終排在位。常見的注入漏洞包括SQL、LDAP、OS命令、ORM和OGNL。用戶可以通過任何輸入點輸入構建的惡意代碼。如果應用程序沒有嚴格過濾用戶的輸入，一旦輸入的惡意代碼作為命令或查詢的一部分被發送到解析器，就可能導致注入漏洞。以SQL注入為例，是因為攻擊者通過瀏覽器或其他客戶端向網站參數中插入惡意SQL語句，而網站應用程序直接將惡意SQL語句帶入數據庫并執行而不進行過濾，終導致通過數據庫獲取敏感信息或其他惡意操作。
SINE安全網站漏洞檢測時必須要人工去審計漏洞和查找漏洞找出問題所在并修復漏洞，對各項功能都進行了全面的安全檢測。
http://www.58seesohu.com