因此檢測(cè)那些可能會(huì)讓攻擊者獲得內(nèi)網(wǎng)訪問(wèn)權(quán)限的外網(wǎng)資產(chǎn)的漏洞非常必要。內(nèi)網(wǎng)：不是所有的攻擊都來(lái)自外部網(wǎng)絡(luò)，和惡意軟件也可以存在于內(nèi)網(wǎng)之中。比如：通過(guò)網(wǎng)絡(luò)和移動(dòng)存儲(chǔ)介質(zhì)來(lái)傳播病毒；擁有內(nèi)網(wǎng)權(quán)限的不滿員工；有內(nèi)網(wǎng)的外部攻擊者。
說(shuō)白了，就是說(shuō)在網(wǎng)站滲透測(cè)試的后一個(gè)步驟里，對(duì)代碼的漏洞要統(tǒng)計(jì)、檢測(cè)結(jié)果顯示并現(xiàn)場(chǎng)演示一些早已辨別、認(rèn)證和運(yùn)用了的安全漏洞。被測(cè)公司的管理和技術(shù)精英團(tuán)隊(duì)會(huì)檢驗(yàn)滲透時(shí)采取的方式，并會(huì)根據(jù)這些文檔中的結(jié)果顯示，來(lái)修補(bǔ)所存有的網(wǎng)站漏洞。因此從社會(huì)道德視角來(lái)講，安全檢測(cè)結(jié)果顯示的工作目標(biāo)非常至關(guān)重要。便于協(xié)助管理人員和滲透一同掌握、剖析現(xiàn)階段網(wǎng)站系統(tǒng)程序中的存在的問(wèn)題，將會(huì)需用給不一樣的部門擬定不一樣措辭的書面報(bào)告。除此之外，這些安全檢測(cè)的結(jié)果顯示還可以用于對(duì)比網(wǎng)站滲透測(cè)試前后目標(biāo)系統(tǒng)的完整性。很多客戶找到我們SINE安全做滲透測(cè)試服務(wù)，那么我們?cè)诤箅A段，都是要輸出滲透測(cè)試報(bào)告給客戶看，到底這個(gè)報(bào)告該怎么寫，SINE老于來(lái)跟大家詳細(xì)的介紹一番。
講了那么多，一段話匯總就是說(shuō)，網(wǎng)站滲透測(cè)試過(guò)后給客戶看的檢測(cè)結(jié)果，安全測(cè)試報(bào)告模版、有什么規(guī)范？每個(gè)人都會(huì)有自身覺得合理的見解。如同這個(gè)行業(yè)的很多人早已證實(shí)的那樣，有不錯(cuò)的擬定檢測(cè)結(jié)果的方式，還有一些很不盡人意的方式。網(wǎng)站滲透測(cè)試檢測(cè)結(jié)果顯示并都沒有固定性的統(tǒng)一化規(guī)范，含有精英團(tuán)隊(duì)特色的、可以幫客戶處理問(wèn)題的檢測(cè)結(jié)果顯示就是說(shuō)是好檢測(cè)結(jié)果顯示。
滲透測(cè)試報(bào)告需用哪些內(nèi)容？步，要時(shí)時(shí)牢記“評(píng)估的終目標(biāo)？你的方案是啥？檢測(cè)結(jié)果中要表示什么？一些具有網(wǎng)站滲透測(cè)試技能但缺乏經(jīng)驗(yàn)的非常容易犯一個(gè)嚴(yán)重錯(cuò)誤就是說(shuō)在檢測(cè)結(jié)果中過(guò)于重視技能表示要牢記網(wǎng)站滲透測(cè)試檢測(cè)結(jié)果是并非顯擺技術(shù)的地方。因此要在剛開始就清晰可見目標(biāo)，在書寫檢測(cè)結(jié)果的時(shí)候要牢記這一點(diǎn)。
第二，誰(shuí)在看這個(gè)檢測(cè)結(jié)果？他們期望從這當(dāng)中看到什么？檢測(cè)結(jié)果的對(duì)象是誰(shuí)？在大部分狀況下網(wǎng)站滲透測(cè)試檢測(cè)結(jié)果的閱讀者通常會(huì)與你的技術(shù)能力不在一個(gè)級(jí)別。你需用盡可能讓他們看得懂檢測(cè)結(jié)果。而且需用檢測(cè)結(jié)果中表示不一樣閱讀者關(guān)心的不一樣一部分。例如，摘要一部分應(yīng)該做到：簡(jiǎn)潔明了(不超過(guò)兩頁(yè))，關(guān)鍵簡(jiǎn)述危害客戶安全狀態(tài)的漏洞及危害。在大部分狀況下，高層們都沒有時(shí)間關(guān)心你在網(wǎng)站滲透測(cè)試中采取的深?yuàn)W的技術(shù)應(yīng)用，因此前幾頁(yè)很至關(guān)重要，們很有可能只關(guān)注這幾頁(yè)的內(nèi)容，因此必須需用量身定制。
“技術(shù)方面的詳情”是表示你針對(duì)目標(biāo)系統(tǒng)進(jìn)行的所有技術(shù)檢測(cè)的細(xì)節(jié)，需用修補(bǔ)你遇到的這些漏洞的人會(huì)很關(guān)心這部分內(nèi)容。可是，他們并不關(guān)心你的掃描檢測(cè)結(jié)果顯示。直接堆積300多頁(yè)的掃描檢測(cè)結(jié)果顯示是都沒有意義的。建議以下：1、不可以直接在檢測(cè)結(jié)果顯示中堆積漏洞掃描工具的輸出結(jié)果顯示，除非是必須要用得著的。例如Nmap的輸出結(jié)果顯示不一定是把每一行都放進(jìn)檢測(cè)結(jié)果顯示里。建議以下操作，例如掃描遇到網(wǎng)絡(luò)中大批量主機(jī)開啟了SNMP服務(wù)，建議采取-oA參數(shù)和grep過(guò)濾下主機(jī)索引和SNMP端口。
2、發(fā)現(xiàn)漏洞必須要截圖，但要適度。截圖過(guò)多就會(huì)增加檢測(cè)結(jié)果顯示的頁(yè)數(shù)和大小，因此要適度截圖。截圖要表示關(guān)鍵問(wèn)題，而并不是僅僅只是便于為了展現(xiàn)掃描工具的漂亮輸出圖。比如說(shuō)，你獲取到了Linux主機(jī)的root的權(quán)限，不一定是你截20張圖來(lái)展現(xiàn)root權(quán)限能瀏覽哪些目錄，只需截1張uid命令的輸出結(jié)果顯示。截圖得當(dāng)可以清晰可見展現(xiàn)你完成的工作目標(biāo)。
在寫滲透測(cè)試檢測(cè)結(jié)果顯示時(shí)，另外一個(gè)普遍的錯(cuò)誤觀念是“長(zhǎng)度等于質(zhì)量”。實(shí)際上是，你的檢測(cè)結(jié)果顯示應(yīng)該長(zhǎng)度適中不易過(guò)長(zhǎng)。假如你期望有人認(rèn)真閱讀你的檢測(cè)結(jié)果顯示，那么內(nèi)容太長(zhǎng)會(huì)成為一種負(fù)擔(dān)。但假如你的檢測(cè)結(jié)果顯示內(nèi)容確實(shí)很長(zhǎng)，可是閱讀報(bào)告的客戶并不關(guān)注檢測(cè)結(jié)果顯示中的所有漏洞問(wèn)題，建議你將一小部分內(nèi)容以附件的形式去表示出來(lái)。感興趣的閱讀者可以自行閱讀附件一部分內(nèi)容，不一樣的閱讀者各取所需。網(wǎng)站，APP在上線之前一定要提前檢測(cè)網(wǎng)站，以及APP存在的漏洞，防止后期發(fā)展過(guò)程中出現(xiàn)重大的經(jīng)濟(jì)損失，可以找的網(wǎng)絡(luò)安全公司來(lái)做這項(xiàng)滲透測(cè)試服務(wù)，國(guó)內(nèi)SINESAFE，綠盟，啟明星辰，盾安全都是比較的，至此報(bào)告的編寫以及側(cè)重點(diǎn)都已記錄到這片文章里，希望對(duì)您有所幫助。

緩沖區(qū)溢出。檢測(cè)Web網(wǎng)站服務(wù)器和服務(wù)器軟件，是否存在緩沖區(qū)溢出漏洞，如里存在，攻擊者可通過(guò)此漏洞，獲得網(wǎng)站或服務(wù)器的管理權(quán)限。

網(wǎng)站安全是整個(gè)網(wǎng)站運(yùn)營(yíng)中重要的一部分，網(wǎng)站沒有了安全，那用戶的隱私如何**，在網(wǎng)站中進(jìn)行的任何交易，支付，用戶的注冊(cè)信息都就沒有了安全**，所以網(wǎng)站安全做好了，才能更好的去運(yùn)營(yíng)一個(gè)網(wǎng)站，我們SINE安全在對(duì)客戶進(jìn)行網(wǎng)站署與檢測(cè)的同時(shí)，發(fā)現(xiàn)網(wǎng)站的業(yè)務(wù)邏輯漏洞很多，尤其暴利解析漏洞。網(wǎng)站安全里的用戶密碼暴利解析，是目前業(yè)務(wù)邏輯漏洞里出現(xiàn)比較多的一個(gè)網(wǎng)站漏洞，其實(shí)強(qiáng)制解析簡(jiǎn)單來(lái)說(shuō)就是利用用戶的弱口令，比如123456，111111，22222，admin等比較常用的密碼，來(lái)進(jìn)行猜測(cè)并嘗試登陸網(wǎng)站進(jìn)行用戶密碼登陸，這種攻擊方式
如果網(wǎng)站在設(shè)計(jì)當(dāng)中沒有設(shè)計(jì)好的話，后期會(huì)給網(wǎng)站服務(wù)器后端帶來(lái)很大的壓力，可以給網(wǎng)站造成打不開，以及服務(wù)器癱瘓等影響，甚至有些強(qiáng)制解析會(huì)利用工具，進(jìn)行自動(dòng)化的模擬攻擊，線程可以開到100-1000瞬時(shí)間就可以把服務(wù)器的CPU搞爆，大大的縮短了強(qiáng)制解析的時(shí)間甚至有時(shí)幾分鐘就可以解析用戶的密碼。在我們SINE安全對(duì)客戶網(wǎng)站漏洞檢測(cè)的同時(shí)，我們都會(huì)去從用戶的登錄，密碼找回，用戶注冊(cè)，二級(jí)密碼等等業(yè)務(wù)功能上去進(jìn)行安全檢測(cè)，通過(guò)我們十多年來(lái)的安全檢測(cè)經(jīng)驗(yàn)，我們來(lái)簡(jiǎn)單的介紹一下。
首先我們來(lái)看下，強(qiáng)制解析的模式，分身份驗(yàn)證碼模塊暴利解析，以及無(wú)任何防護(hù)，IP鎖定機(jī)制，不間斷撞庫(kù)，驗(yàn)證碼又分圖片驗(yàn)證碼，短信驗(yàn)證碼，驗(yàn)證碼的安全繞過(guò)，手機(jī)短信驗(yàn)證碼的爆密與繞過(guò)等等幾大方面。無(wú)任何防護(hù)的就是網(wǎng)站用戶在登錄的時(shí)候并沒有限制用戶錯(cuò)誤登錄的次數(shù)，以及用戶注冊(cè)的次數(shù)，重置密碼的吃書，沒有用戶登錄驗(yàn)證碼，用戶密碼沒有MD5加密，這樣就是無(wú)任何的安全防護(hù)，導(dǎo)致攻擊者可以趁虛而入，強(qiáng)制解析一個(gè)網(wǎng)站的用戶密碼變的十分簡(jiǎn)單。
IP鎖定機(jī)制就是一些網(wǎng)站會(huì)采用一些安全防護(hù)措施，當(dāng)用戶登錄網(wǎng)站的時(shí)候，登錄錯(cuò)誤次數(shù)超過(guò)3次，或者10次，會(huì)將該用戶賬號(hào)鎖定并鎖定該登錄賬戶的IP，IP鎖定后，該攻擊者將無(wú)法登錄網(wǎng)站。驗(yàn)證碼解析與繞過(guò)，在整個(gè)網(wǎng)站安全檢測(cè)當(dāng)中很重要，一般驗(yàn)證碼分為手機(jī)短信驗(yàn)證碼，微信驗(yàn)證碼，圖片驗(yàn)證碼，網(wǎng)站在設(shè)計(jì)過(guò)程中就使用了驗(yàn)證碼安全機(jī)制，但是還是會(huì)繞過(guò)以及暴利解析，有些攻擊軟件會(huì)自動(dòng)的識(shí)別驗(yàn)證碼，目前有些驗(yàn)證碼就會(huì)使用一些拼圖，以及字體，甚至有些驗(yàn)證碼輸入一次就可以多次使用，驗(yàn)證碼在效驗(yàn)的時(shí)候并沒有與數(shù)據(jù)庫(kù)對(duì)比，導(dǎo)致被繞過(guò)。
關(guān)于網(wǎng)站出現(xiàn)邏輯漏洞該如何修復(fù)漏洞呢？首先要設(shè)計(jì)好IP鎖定的安全機(jī)制，當(dāng)攻擊者在嘗試登陸網(wǎng)站用戶的時(shí)候，可以設(shè)定一分鐘登陸多少次，登陸多了就鎖定該IP，再一個(gè)賬戶如果嘗試一些操作，比如找回密碼，找回次數(shù)過(guò)多，也會(huì)封掉該IP。驗(yàn)證碼識(shí)別防護(hù)，增加一些語(yǔ)音驗(yàn)證碼，字體驗(yàn)證碼，拼圖下拉驗(yàn)證碼，需要人手動(dòng)操作的驗(yàn)證碼，短信驗(yàn)證碼一分鐘只能獲取一次驗(yàn)證碼。驗(yàn)證碼的生效時(shí)間安全限制，無(wú)論驗(yàn)證碼是否正確都要一分鐘后就過(guò)期，不能再用。所有的用戶登錄以及注冊(cè)，都要與后端服務(wù)器進(jìn)行交互，包括數(shù)據(jù)庫(kù)服務(wù)器。

Burpsuite這是一個(gè)可以用于攻擊Web應(yīng)用程序的集成平臺(tái)。Burp套件允許一個(gè)攻擊者將人工的和自動(dòng)的技術(shù)結(jié)合起來(lái)，以列舉、分析、攻擊Web應(yīng)用程序，或利用這些程序的漏洞。各種各樣的burp工具協(xié)同工作，共享信息，并允許將一種工具發(fā)現(xiàn)的漏洞形成另外一種工具的基礎(chǔ)。
如果你剛好是某個(gè)網(wǎng)絡(luò)應(yīng)用程序的所有者，怎樣才能保證你的網(wǎng)站是安全的、不會(huì)泄露敏感信息？如果是基于云的安全解決方案，那么可能只需要進(jìn)行常規(guī)漏掃。但如果不是，我們就必須執(zhí)行例行掃描，采取必要的行動(dòng)降低安全風(fēng)險(xiǎn)。當(dāng)然很多付費(fèi)掃描器功能會(huì)更加全面、嚴(yán)謹(jǐn)，包含報(bào)表輸出、警報(bào)、詳細(xì)的應(yīng)急指南等等附加功能。開源工具的缺點(diǎn)是漏洞庫(kù)可能沒有付費(fèi)軟件那么全面。但更詳細(xì)的實(shí)戰(zhàn)找出漏洞的話還是得靠人工手動(dòng)安全測(cè)試才能確保安全的化。
http://www.agrivod.com