好，第二個的話，就是咱們去做功能測試的話，你要知道你我們經常做的一些測試的策略有哪一些，然后你是從哪些角度去做這一些測試策略的比如說這些測試策略的話有咱們的功能測試，然后 UI 兼容性測試、穩定性測試，那這些東西你如何去做你是如何去實施的，你會從哪些角度去測試，這個也是做做咱們黑盒測試必須要掌握的一個。
這在目前的互聯網環境下，很容易出現安全問題，比如被攻擊、被掛馬、被用戶數據等等，尤其是本身在代碼安全層面做的并不好的情況下，這種事件就更容易發生，再加上，這些中小企業普遍缺乏網絡安全投資和必要防護手段，抗擊打能力比較弱，一旦遭到網絡攻擊，蒙受巨大經濟損失后將很難恢復元氣。

當攻擊者通過API調用遍歷攻擊系統時，他們必須弄清楚可以發送些什么來獲取數據。攻擊者“信奉”這樣的一個事實：即越復雜的系統，出錯的地方越多。攻擊者識別出API后，他們將對參數進行分類，然后嘗試訪問管理員（垂直特權升級）或另一個用戶（水平特權升級）的數據以收集其他數據。通常，太多不必要的參數被暴露給了用戶。
在近的研究項目中，我們對目標服務的API調用返回了大量數據，很多都是不必要的數據信息，例如付款網關的處理器密鑰和可用的折扣信息等。這些“獎勵信息”使攻擊者可以更好地理解這些API調用的上下文和語法。攻擊者不需要太多的想象力就能弄清楚下一步該怎么做。這些額外的參數為攻擊者提供了豐富的攻擊數據集。解決方法：如果將用戶看到的內容范圍限制為必需內容，限制關鍵數據的傳輸，并使數據查詢結構未知，那么攻擊者就很難對他們知道的參數進行爆密。

在之前的一系列文章中，我們主要講了內網滲透的一些知識，而在現實中，要進行內網滲透，一個很重要的前提便是：你得能進入內網??！所以，從這篇文章開始，我們將開啟Web滲透的學習（內網滲透系列還會繼續長期更新哦）。滲透測試，是滲透測試完全模擬hack可能使用的攻擊技術和漏洞發現技術，對目標網絡、主機、應用的安全作深入的探測，幫助企業挖掘出正常業務流程中的安全缺陷和漏洞，助力企業先于hack發現安全風險，防患于未然。
Web應用的滲透測試流程主要分為3個階段，分別是：信息收集→漏洞發現→漏洞利用。本文我們將對信息收集這一環節做一個基本的講解。信息收集介紹進行web滲透測試之前，重要的一步那就是就是信息收集了，俗話說“滲透的本質也就是信息收集”，信息收集的深度，直接關系到滲透測試的成敗。打好信息收集這一基礎可以讓測試者選擇合適和準確的滲透測試攻擊方式，縮短滲透測試的時間。一般來說收集的信息越多越好，通常包括以下幾個部分：

下面開始我們的整個滲透測試過程，首先客戶授權我們進行網站安全測試，我們才能放開手的去干，首先檢測的是網站是否存在SQL注入漏洞，我們SINE安全在檢測網站是否有sql注入的時候都會配合查看mysql數據庫的日志來查詢我們提交的SQL語句是否成功的執行，那么很多人會問該如何開啟數據庫的日志，如何查看呢？首先連接linux服務器的SSH端口，利用root的賬號密碼進服務器，打開mysql的配置文件mysqld.cnf編輯general_log_file=（log日志的），general_log=1，在服務器里輸入tail -f （log），來查看實時的數據庫語句執行日志。當我們SINE安全技術在測試SQL注入漏洞的時候，就會實時的看到是否有惡意的SQL語句執行成功，如果有那么數據庫日志就會出現錯誤提示，在滲透測試中是很方便的，也更利于查找漏洞。
SINE安全網站漏洞檢測時必須要人工去審計漏洞和查找漏洞找出問題所在并修復漏洞，對各項功能都進行了全面的安全檢測。
http://www.agrivod.com