好，第三個(gè)的話就是對(duì)白盒測(cè)試，那么非常重要的一點(diǎn)就是你要知道如何去設(shè)計(jì)用例，如何去設(shè)計(jì)用例 好，設(shè)計(jì)用例的話，其實(shí)就是也就是你測(cè)試這個(gè)軟件的一個(gè)非常重要的邏輯思維這個(gè)東西。 因此就是說(shuō)并不是說(shuō)每個(gè)人都能夠隨隨便便去做一做一個(gè)很好的黑盒測(cè)試的工程師。
近年來(lái)，各類(lèi)頻繁遭受攻擊致使網(wǎng)絡(luò)癱瘓、內(nèi)容被篡改，商業(yè)機(jī)密和用戶隱私被取，使經(jīng)營(yíng)者和用戶都損失慘重。電商和服務(wù)一直是網(wǎng)絡(luò)攻擊的重災(zāi)區(qū)，京東、當(dāng)當(dāng)網(wǎng)都曾遭受過(guò)攻擊，造成直接經(jīng)濟(jì)損失。
為什么愛(ài)找你的麻煩？
試想當(dāng)你的客戶訪問(wèn)你的出現(xiàn)這樣的情況，不僅浪費(fèi)優(yōu)化推廣費(fèi)用和人力成本，還有可能對(duì)你的企業(yè)口碑以及造成惡劣的影響！再被一次次打擊的情況下，我們不禁要問(wèn)：為什么愛(ài)找你的麻煩？
程序本身存在漏洞
很多企業(yè)的是在網(wǎng)上下載的開(kāi)源代碼，或隨便找網(wǎng)建公司開(kāi)發(fā)的，程序本身就存在漏洞風(fēng)險(xiǎn)。試想一下，你花請(qǐng)幾百或幾千元做的東西，兩天就出來(lái)了。是菜場(chǎng)買(mǎi)白菜嗎？安全能提高到哪里去？
解決方案：發(fā)現(xiàn)問(wèn)題查找問(wèn)題原因，組織技術(shù)團(tuán)隊(duì)進(jìn)行排查分析。

討論回顧完上次整改的問(wèn)題之后，理清了思路。然后我登錄了網(wǎng)站查看一下原因，因?yàn)榫W(wǎng)站只有一個(gè)上傳圖片的地方，我進(jìn)行抓包嘗試，使用了repeater重放包之后，發(fā)現(xiàn)返回包確實(shí)沒(méi)有返回文檔上傳路徑，然后我又嘗試了各種繞過(guò)，結(jié)果都不行。后苦思冥想得不到結(jié)果，然后去問(wèn)一下這個(gè)云平臺(tái)給他們提供的這個(gè)告警是什么原因?？戳嗽破脚_(tái)反饋的結(jié)果里面查殺到有圖片碼，這個(gè)問(wèn)題不大，上傳文檔沒(méi)有執(zhí)行權(quán)限，而且沒(méi)有返回文檔路徑，還對(duì)文檔名做了隨機(jī)更改，但是為啥會(huì)有這個(gè)jsp上傳成功了，這讓我百思不得其解。
當(dāng)我仔細(xì)云平臺(tái)提供的發(fā)現(xiàn)webshel數(shù)據(jù)的時(shí)候，我細(xì)心的觀察到了文檔名使用了base編碼，這個(gè)我很疑惑，都做了隨機(jī)函數(shù)了還做編碼干嘛，上次測(cè)試的時(shí)候是沒(méi)有做編碼的。我突然想到了問(wèn)題關(guān)鍵，然后使用burpsuite的decoder模塊，將文檔名“1jsp”做了base編碼成“MS5Kc1A=”，然后發(fā)送成功反饋狀態(tài)碼200，再不是這個(gè)上傳失敗反饋500狀態(tài)碼報(bào)錯(cuò)了。
所以，這個(gè)問(wèn)題所在是，在整改過(guò)程中研發(fā)人員對(duì)這個(gè)文檔名使用了base編碼，導(dǎo)致文檔名在存儲(chǔ)過(guò)程中會(huì)使用base解析，而我上傳文檔的時(shí)候?qū)⑦@個(gè)后綴名.jsp也做了這個(gè)base編碼，在存儲(chǔ)過(guò)程中.jsp也被成功解析，研發(fā)沒(méi)有對(duì)解析之后進(jìn)行白名單限制。其實(shí)這種編碼的更改是不必要的，畢竟原來(lái)已經(jīng)做了隨機(jī)數(shù)更改了文檔名了，再做編碼有點(diǎn)畫(huà)蛇添足了，這就是為啥程序bug改一個(gè)引發(fā)更多的bug原因。

當(dāng)攻擊者通過(guò)API調(diào)用遍歷攻擊系統(tǒng)時(shí)，他們必須弄清楚可以發(fā)送些什么來(lái)獲取數(shù)據(jù)。攻擊者“信奉”這樣的一個(gè)事實(shí)：即越復(fù)雜的系統(tǒng)，出錯(cuò)的地方越多。攻擊者識(shí)別出API后，他們將對(duì)參數(shù)進(jìn)行分類(lèi)，然后嘗試訪問(wèn)管理員（垂直特權(quán)升級(jí)）或另一個(gè)用戶（水平特權(quán)升級(jí)）的數(shù)據(jù)以收集其他數(shù)據(jù)。通常，太多不必要的參數(shù)被暴露給了用戶。
在近的研究項(xiàng)目中，我們對(duì)目標(biāo)服務(wù)的API調(diào)用返回了大量數(shù)據(jù)，很多都是不必要的數(shù)據(jù)信息，例如付款網(wǎng)關(guān)的處理器密鑰和可用的折扣信息等。這些“獎(jiǎng)勵(lì)信息”使攻擊者可以更好地理解這些API調(diào)用的上下文和語(yǔ)法。攻擊者不需要太多的想象力就能弄清楚下一步該怎么做。這些額外的參數(shù)為攻擊者提供了豐富的攻擊數(shù)據(jù)集。解決方法：如果將用戶看到的內(nèi)容范圍限制為必需內(nèi)容，限制關(guān)鍵數(shù)據(jù)的傳輸，并使數(shù)據(jù)查詢結(jié)構(gòu)未知，那么攻擊者就很難對(duì)他們知道的參數(shù)進(jìn)行爆密。

中小企業(yè)安全防護(hù)薄弱，抗擊打能力不強(qiáng)
據(jù)相關(guān)數(shù)據(jù)顯示，超過(guò) 90%的企業(yè)完全或高度依靠互聯(lián)網(wǎng)開(kāi)展業(yè)務(wù)，科技/互聯(lián)網(wǎng)、金融、電信是對(duì)互聯(lián)網(wǎng)依存度高的行業(yè)，而其中創(chuàng)業(yè)型小微企業(yè)（50 人以內(nèi)）更甚，互聯(lián)網(wǎng)成為這些類(lèi)型企業(yè)發(fā)展的重要根基。而這些企業(yè)，并沒(méi)有的技術(shù)團(tuán)隊(duì)運(yùn)維，往往是交給建站公司管理，或自己租用個(gè)主機(jī)就發(fā)布。
SINE安全網(wǎng)站漏洞檢測(cè)時(shí)必須要人工去審計(jì)漏洞和查找漏洞找出問(wèn)題所在并修復(fù)漏洞，對(duì)各項(xiàng)功能都進(jìn)行了全面的安全檢測(cè)。
http://m.ny010.com.cn