許多客戶在網站，以及APP上線的同時，都會提前的對網站進行全面的滲透測試以及安全檢測，提前檢測出存在的網站漏洞，以免后期網站發展過程中出現重大的經濟損失，前段時間有客戶找到我們SINE安全公司做滲透測試服務，在此我們將把對客戶的整個滲透測試過程以及安全測試，發現的漏洞都記錄下來，分享給大家，也希望大家更深地去了解滲透測試。
命令執行的漏洞。應用程序的某些函數需要調用可以執行系統命令的函數。如果這些功能或者功能的參數可以被用戶控制，那么惡意的命令就有可能通過命令連接器拼接成正常的功能，從而可以隨意執行系統命令。這就是命令執行漏洞，這是高風險漏洞之一。

其實從開發的角度，如果要保證代碼至少在邏輯方面沒有明顯的漏洞，還是有些繁瑣的。舉個簡單的例子，如網站的數據檢驗功能，不允許前端提交不符合當前要求規范的數據（比如年齡文本框部分不能提交字母）。那么為了實現這個功能，首先開發者肯定要在前端實現該功能，直接在前端阻止用戶提交不符規范的數據，否則用戶體驗會很差，且占用服務器端的資源。
但是沒有安全意識或覺得麻煩的開發者就會僅僅在前端用Js進行校驗，后端沒有重復進行校驗。這樣就很容易給惡意用戶機會：比如不通過前端頁面，直接向后端接口發送數據：或者，前端代碼編寫不規范，用戶可以直接在瀏覽器控制臺中用自己寫的Js代碼覆蓋原有的Js代碼；或者，用戶還可以直接在瀏覽器中禁用Js；等等。總之，前端的傳過來的數據可信度基本上可以認為比較低，太容易被利用了。
而我的思路都是很簡單的，就是關注比較重要的幾個節點，看看有沒有可乘之機。如登錄、權限判定、數據加載等前后，對方是怎么做的，用了什么樣的技術，有沒有留下很明顯的漏洞可以讓我利用。像這兩個網站，加載的Js文檔都沒有進行混淆，注釋也都留著，還寫得很詳細。比較湊巧的是，這兩個網站都用到了比較多的前端的技術，也都用到了sessionStorage。

插件技術的本質是通過APP軟件的重要函數，模擬APP客戶端，欺服務器發送虛假數據的手段。例如，瘋狂的紅包軟件，其原理是利用HOOK技術紅包函數，制作插件與APP函數對接，達到插件的目的，一些大型APP軟件具有HOOK識別機制，但大多數APP仍然沒有保護的概念。解決方案:混淆或加密關鍵函數或代碼執行過程。

修改后臺初始密碼
每個都有一個后臺賬戶，用于日常的維護更新，而很多后臺初始密碼都過于簡單，在拿到后臺管理賬號密碼時，要先把初始密碼修改掉，帳號密碼要有一定的復雜度，不要使用域名、年份、姓名、純數字等元素，要知道密碼越好記也就意味著越容易被攻破。
SINE安全網站漏洞檢測時必須要人工去審計漏洞和查找漏洞找出問題所在并修復漏洞，對各項功能都進行了全面的安全檢測。
http://www.agrivod.com