關于黑盒測試中的業務功能安全測試，個如果說你是去做那種性比較強的這一種業務，比如說咱們的這一個銀行類的金融類的這些業務，那么它可能個要求就是你要有這個什么業務能力。 因為有時候一些復雜的業務的話，并不是說如果說以前你沒做的話，他可能就光這個業務的培訓那就要給你來個三個月或甚至半年的一個時間，因此說對于這一種業務能力要求比較高的這種項目或者企業里面去招人的話，他個看中或者說他有一個硬性的要求，就是說你有沒有做過相關的這一些產品，如果做過的話，這一類人員他是優先的。
下面開始我們的整個滲透測試過程，首先客戶授權我們進行網站安全測試，我們才能放開手的去干，首先檢測的是網站是否存在SQL注入漏洞，我們SINE安全在檢測網站是否有sql注入的時候都會配合查看mysql數據庫的日志來查詢我們提交的SQL語句是否成功的執行，那么很多人會問該如何開啟數據庫的日志，如何查看呢？首先連接linux服務器的SSH端口，利用root的賬號密碼進服務器，打開mysql的配置文件mysqld.cnf編輯general_log_file=（log日志的），general_log=1，在服務器里輸入tail -f （log），來查看實時的數據庫語句執行日志。當我們SINE安全技術在測試SQL注入漏洞的時候，就會實時的看到是否有惡意的SQL語句執行成功，如果有那么數據庫日志就會出現錯誤提示，在滲透測試中是很方便的，也更利于查找漏洞。

大多數開發人員沒有安全意識，其中軟件開發公司更嚴重。他們專注于實現客戶的需求，不考慮現在的代碼是否有安全上的危險。在生產軟件的同時，也生產脆弱性，沒有任何軟件是的，沒有脆弱性。因此，建議網絡安全技術人員對代碼進行安全審計，挖掘漏洞，避免風險。無論是大型軟件還是小型軟件，安全穩定都是APP運營的標準。否則，即使是更好的商業模式也無法忍受網絡攻擊的推敲。大型軟件受到競爭對手和黑產組織的威脅，小型軟件通過掃描式隨機攻擊侵入服務器，稍有疏忽的平臺被利用。

添加軟件防火墻
基于Web的防火墻解決方案可以監視傳入連接并阻止可能具有威脅性的連接。管理防火墻是一項持續的活動，必須確保打開正確的端口并允許在開放的互聯網上運行，同時持續Web服務器訪問流量并根據網絡威脅級別實時調整防護策略。
維護備份策略
服務器備份對于保持安全至關重要。在代碼級別，數據應通過配置系統進行管理，隨時跟蹤每個更改并隨時間存儲版本記錄，如發現安全漏洞便可及時修補。在數據庫層，如果不是更頻繁，則應至少每天記錄完整快照備份，具體取決于發生的更改和添加類型。另外保持備份副本安全也非常重要，佳做法是在云環境中保留一組備份，在本地辦公室的硬件上保留另一組備份。
使用HTTPS協議
HTTPS是以安全為目標的HTTP通道，簡單講是HTTP的安全版。HTTP下加入SSL層，是數據傳輸的安全基礎。使用HTTPS協議，可以加密會員登錄的賬號密碼，進而保護用戶隱私。

應對措施：文檔上傳的繞過方法網上一搜有很多（比如upload-labs的各種方法、繞防火墻的各種方法（雖然很多已經過時），可能還有些沒有公開的方法，總結一下：1.常規的繞過方法：文檔后綴（大小寫、文檔別名等等）、文檔名（文檔名加分號、引號等等）、文檔內容（比如圖片馬）、請求包結構等等。
2.結合服務器解析漏洞：IIS、apache、nginx的特定版本都有對應的解析漏洞。3.利用文檔包含漏洞：如果有文檔包含漏洞，可以結合文檔包含漏洞，上傳馬。4.利用組件漏洞：如果知道組件版本和名稱，可以網上找一下相應漏洞。注：手動一個一個去試各種方法，的確很麻煩，可以試試burpsuit的上傳插件upload-scanner(但本人覺得并不好用）。
SINE安全網站漏洞檢測時必須要人工去審計漏洞和查找漏洞找出問題所在并修復漏洞，對各項功能都進行了全面的安全檢測。
http://www.agrivod.com