我們發(fā)現(xiàn)很多網(wǎng)站用IIS環(huán)境尤其是aspx+sqlserver架構(gòu)的網(wǎng)站總是被攻擊，具體先是接到阿里云的通知說(shuō)是有違規(guī)URL通知，然后過(guò)了幾天發(fā)現(xiàn)百度site網(wǎng)站域名，多了很多與網(wǎng)站本身內(nèi)容不相關(guān)的垃圾快照內(nèi)容，攻擊從百度點(diǎn)擊這個(gè)快照地址進(jìn)去后顯示404找不到頁(yè)面，但從百度站長(zhǎng)工具里抓取頁(yè)面就能看到內(nèi)容，說(shuō)明攻擊者對(duì)搜索引擎的UA標(biāo)識(shí)做了判斷進(jìn)行混淆，導(dǎo)致從肉眼看不出任何問(wèn)題，但快照依然在繼續(xù)增加新收錄。
游戲核心的安全也就是數(shù)據(jù)庫(kù)的安全，數(shù)據(jù)庫(kù)里保存著玩家以及運(yùn)營(yíng)商的機(jī)密數(shù)據(jù).包括了賬號(hào)和裝備以及密碼，游戲運(yùn)營(yíng)的數(shù)據(jù)。這些數(shù)據(jù)被和篡改的話，直接影響了一個(gè)游戲的運(yùn)營(yíng)和發(fā)展。游戲里直接的收入就是玩家的，在支付過(guò)程的頁(yè)面被篡改，現(xiàn)金支付到其他惡意的賬號(hào)里，都是現(xiàn)在游戲所存在的安全漏洞。游戲管理端的安全，包含了后臺(tái)登錄驗(yàn)證安全.沒(méi)有經(jīng)過(guò)再次過(guò)濾.輸入任意賬號(hào)密碼，直接登錄后臺(tái)管理，直接操作了服務(wù)器的數(shù)據(jù)庫(kù)以及會(huì)員信息賬號(hào)和密碼。游戲前臺(tái)的安全也包含諸多的密碼注入，以及跨站漏洞，JS注入，惡意信息提交和執(zhí)行，都是現(xiàn)存在的安全問(wèn)題。

檢測(cè)網(wǎng)站是否存在源代碼泄露漏洞，如果存在此漏洞，攻擊者可直接下載網(wǎng)站的源代碼。并獲取網(wǎng)站的數(shù)據(jù)庫(kù)密碼以及管理密碼。檢測(cè)網(wǎng)站的某些隱藏目錄是否存在泄露漏洞。如果存在此漏洞，攻擊者可了解網(wǎng)站的全部結(jié)構(gòu)。普通信息泄漏。包括客戶(hù)端明文存儲(chǔ)密碼、以及web路徑遍歷、系統(tǒng)路徑遍歷等。

檢測(cè)網(wǎng)站的上傳功能是否存在上傳漏洞，包含move_uploaded_file()上傳函數(shù)測(cè)試有沒(méi)有安全過(guò)濾，文件頭、content_type驗(yàn)證繞過(guò)，繞過(guò)上傳文件格式（asp,php,jsp.等腳本文件），繞過(guò)上傳的目錄，文件操作漏洞（文件包含漏洞，本地文件包含，遠(yuǎn)程文件包含，文件包含截?cái)啵我馕募x取，文件任意漏洞）如果存在此漏洞，攻擊者可直接利用該漏洞上傳木馬從而在網(wǎng)站上獲取Webshell并進(jìn)而控制網(wǎng)站，也可以破壞網(wǎng)站，危害較嚴(yán)重。。

SQL注入運(yùn)用，學(xué)習(xí)培訓(xùn)XSS網(wǎng)絡(luò)平臺(tái)運(yùn)用代碼學(xué)習(xí)XSS運(yùn)用。
管理權(quán)限維系、內(nèi)網(wǎng)滲透：進(jìn)到目標(biāo)信息，開(kāi)展橫縱擴(kuò)展，向滲透目標(biāo)靠進(jìn)，目標(biāo)獲得、清理痕跡：獲得滲透目標(biāo)管理權(quán)限或數(shù)據(jù)資料，發(fā)送數(shù)據(jù)資料，開(kāi)展清理痕跡。之上，便是有關(guān)滲透測(cè)試流程小編的許多小結(jié)。特別注意的是：1.在網(wǎng)站滲透測(cè)試環(huán)節(jié)中不必開(kāi)展例如ddos攻擊，不損壞數(shù)據(jù)資料。2.檢測(cè)以前對(duì)關(guān)鍵數(shù)據(jù)資料開(kāi)展自動(dòng)備份。一切檢測(cè)實(shí)行前務(wù)必和用戶(hù)開(kāi)展溝通交流，以防招來(lái)很多不必要的不便。3.可以對(duì)初始系統(tǒng)生成鏡像系統(tǒng)環(huán)鏡，隨后對(duì)鏡像系統(tǒng)環(huán)境開(kāi)展檢測(cè)。4.確立網(wǎng)站滲透測(cè)試范疇。
在這個(gè)小盒子里，作系統(tǒng)敘述了網(wǎng)站滲透測(cè)試的主要工作流程，每一個(gè)工作流程所相匹配的知識(shí)要點(diǎn)，及其4個(gè)cms站點(diǎn)滲透實(shí)戰(zhàn)演練訓(xùn)練，此外還包含在滲透的終如何去寫(xiě)這份高質(zhì)量的網(wǎng)站滲透測(cè)試報(bào)告。這種信息全部都是以1個(gè)從業(yè)人員的視角開(kāi)展解讀，融進(jìn)了許多經(jīng)驗(yàn)分享，期待來(lái)學(xué)習(xí)培訓(xùn)的大家都有一定的獲得，現(xiàn)階段有滲透測(cè)試服務(wù)需求的，如果你覺(jué)得服務(wù)內(nèi)容非常棒的情況下，國(guó)內(nèi)SINE安全，綠盟，盾安全，啟明星辰等等都是做滲透測(cè)試服務(wù)的，喜歡的可以去看一下。
網(wǎng)站代碼安全審計(jì)后，sine安全進(jìn)行全面的黑箱安全測(cè)試，對(duì)相應(yīng)的網(wǎng)站漏洞進(jìn)行修復(fù)，對(duì)入侵的痕跡進(jìn)行分析來(lái)制定相應(yīng)的網(wǎng)站防篡改方案，對(duì)重要的登錄頁(yè)面，進(jìn)行二次身份驗(yàn)證。修復(fù)漏洞不單是對(duì)BUG的修復(fù)，而是跟網(wǎng)站緊密結(jié)合在一起，進(jìn)行行之有效的安全解決方案，即要修復(fù)網(wǎng)站的漏洞，也要保證網(wǎng)站的各個(gè)功能正常使用，還要保證網(wǎng)站的正常運(yùn)營(yíng)。
http://www.agrivod.com