服務(wù)器安全滲透包括，內(nèi)網(wǎng)滲透，F(xiàn)TP提權(quán)漏洞，SQL Server數(shù)據(jù)庫提權(quán)，Mysql提權(quán)漏洞，linux本地溢出漏洞，替換系統(tǒng)服務(wù)漏洞，遠(yuǎn)程桌面認(rèn)證繞過漏洞，端口映射漏洞，壓力測試，DDOS壓力測試，arp欺篡改頁面測試，DNS欺漏洞，會話劫持漏洞，以及虛擬主機等眾多應(yīng)用程序系統(tǒng)的漏洞測試。
滲透測試可以用來向第三方，譬如投資方或者你的管理人員提供網(wǎng)絡(luò)安全狀況方面的具體證據(jù)。事實上，你知道網(wǎng)絡(luò)中存在的漏洞可能已有一段時日，但無法說服管理人員分配必要資源以補救漏洞。光靠自己，網(wǎng)絡(luò)或安全管理員的意見往往不會被董事會采納。如果外面的顧問贊同你的評估，或許會有奇跡出現(xiàn)。

此外，你還要提供合適的測試途徑。如果你想測試在非軍事區(qū)（DMZ）里面的系統(tǒng)，好的測試地方就是在同一個網(wǎng)段內(nèi)測試。讓滲透測試人員在防火墻外面進行測試聽起來似乎更實際，但內(nèi)部測試可以大大提高發(fā)現(xiàn)防火墻原本隱藏的服務(wù)器安全漏洞的可能性。因為，一旦防火墻設(shè)置出現(xiàn)變動，就有可能暴露這些漏洞，或者有人可能通過漏洞，利用一臺DMZ服務(wù)器攻擊其它服務(wù)器。還記得尼姆達病毒嗎？它就是攻擊得逞后、利用一臺Web服務(wù)器發(fā)動其它攻擊的。

滲透測試旨在，網(wǎng)絡(luò)防御機制的運行與你認(rèn)為的一樣良好。往往系統(tǒng)和網(wǎng)絡(luò)管理員視審查人員或滲透人員為敵人，但實際上他們卻是朋友。到位的滲透測試可以你的防御確實有效，或者查出問題，幫助你阻擋未來攻擊。出錢請自己知道的人來發(fā)現(xiàn)網(wǎng)絡(luò)中的漏洞，總比讓自己不知道的人發(fā)現(xiàn)漏洞好得多。

如果你是剛剛學(xué)會使用網(wǎng)站服務(wù)器，還是建議安裝一個防護軟件，好多注冊表規(guī)則和系統(tǒng)權(quán)限都不用自身去配置，防護軟件有許多，手動做署和加固，如果對此不明白的話可以去的網(wǎng)站安全公司請求幫助，國內(nèi)做的比較的安全企業(yè)如SINE安全，盾安全，啟明星辰，綠盟等等。服務(wù)器的環(huán)境配置我也不是馬上配置的。現(xiàn)在就這樣先記錄下來吧。以下是控制對用戶的訪問權(quán)限。具體的訪問控制在寫apache部署時也說了很多。總之，盡量寫下嚴(yán)格的訪問規(guī)則。事實上有些例如：防止強制破密，預(yù)防DDOS這種配置，靠機房的硬防去處理。數(shù)據(jù)庫查詢登陸用戶不要使用超級管理員權(quán)限，web服務(wù)必須哪些權(quán)限就分派哪些權(quán)限，隱藏管理后臺的錯誤信息。
普通的測試服務(wù)和漏洞掃描工具只能發(fā)現(xiàn)常規(guī)性的漏洞，而對于系統(tǒng)深層次的漏洞和業(yè)務(wù)邏輯漏洞一般掃描器是無法探測到的，因此需要選擇人工安全滲透測試服務(wù)來對業(yè)務(wù)系統(tǒng)做更深層次、更全面的安全檢查。
http://www.agrivod.com