許多客戶在網站，以及APP上線的同時，都會提前的對網站進行全面的滲透測試以及安全檢測，提前檢測出存在的網站漏洞，以免后期網站發展過程中出現重大的經濟損失，前段時間有客戶找到我們SINE安全公司做滲透測試服務，在此我們將把對客戶的整個滲透測試過程以及安全測試，發現的漏洞都記錄下來，分享給大家，也希望大家更深地去了解滲透測試。
我們SINE安全在進行Web滲透測試中網站漏洞利用率的前五個漏洞。常見漏洞包括注入漏洞、文件上傳漏洞、文件包含漏洞、命令執行漏洞、代碼執行漏洞、跨站點腳本(XSS)漏洞、SSRF漏洞、XML外部實體(XXE)漏洞、反序列化漏洞、解析漏洞等。，因為這些安全漏洞可能被利用，從而影響業務。以下每一條路線都是一種安全風險?？梢酝ㄟ^一系列的攻擊手段發現目標的安全弱點。如果安全漏洞被成功利用，目標將被控制，威脅目標資產或正常功能的使用，終導致業務受到影響。

接下來還得檢測網站的各項功能以及APP功能是否存在邏輯漏洞，越權漏洞，水平垂直等等，我們SINE安全技術詳細的對每一個功能都測試很多遍，一次，兩次，多次的反復進行，在用戶重置密碼功能這里發現有漏洞，正常功能代碼設計是這樣的流程，首先會判斷用戶的賬號是否存在，以及下一步用戶的是否與數據庫里的一致，這里簡單地做了一下安全校驗，但是在獲取驗證碼的時候并沒有做安全校驗，導致可以post數據包，將為任意來獲取驗證碼，利用驗證碼來重置密碼。

文件包含漏洞。文件包含函數中包含的文件參數沒有過濾或嚴格定義，參數可以由用戶控制，可能包含意外文件。如果文件中存在惡意代碼，無論文件是什么后綴類型，文件中的惡意代碼都會被解析執行，導致文件包含漏洞。文件中包含的漏洞可能會造成網頁修改、網站暫停、服務器遠程控制、后門安裝等危害。

攻擊產業鏈成熟，攻擊成本極低
目前黑產產業愈發成熟，發起一次網絡攻擊或入侵的代價變得非常低廉，如果你在網上搜一搜，就會發現，僅需花費數十元，便可以購買 50M 的日攻擊服務。如果包月，費用更低，即花費 500 元就可以攻擊一個中小企業長達一個月。這樣一來，企業將面臨的不但是要在應用架構上花重金配置的安全防護類產品，還需要在安全防護方面投入運維人力，中小企業根本無力承擔，安全成為中小企業無法承受之重。
SINE安全網站漏洞檢測時必須要人工去審計漏洞和查找漏洞找出問題所在并修復漏洞，對各項功能都進行了全面的安全檢測。
http://www.agrivod.com