好，第二個(gè)的話，就是咱們?nèi)プ龉δ軠y(cè)試的話，你要知道你我們經(jīng)常做的一些測(cè)試的策略有哪一些，然后你是從哪些角度去做這一些測(cè)試策略的比如說這些測(cè)試策略的話有咱們的功能測(cè)試，然后 UI 兼容性測(cè)試、穩(wěn)定性測(cè)試，那這些東西你如何去做你是如何去實(shí)施的，你會(huì)從哪些角度去測(cè)試，這個(gè)也是做做咱們黑盒測(cè)試必須要掌握的一個(gè)。
大多數(shù)開發(fā)人員沒有安全意識(shí)，其中軟件開發(fā)公司更嚴(yán)重。他們專注于實(shí)現(xiàn)客戶的需求，不考慮現(xiàn)在的代碼是否有安全上的危險(xiǎn)。在生產(chǎn)軟件的同時(shí)，也生產(chǎn)脆弱性，沒有任何軟件是的，沒有脆弱性。因此，建議網(wǎng)絡(luò)安全技術(shù)人員對(duì)代碼進(jìn)行安全審計(jì)，挖掘漏洞，避免風(fēng)險(xiǎn)。無論是大型軟件還是小型軟件，安全穩(wěn)定都是APP運(yùn)營的標(biāo)準(zhǔn)。否則，即使是更好的商業(yè)模式也無法忍受網(wǎng)絡(luò)攻擊的推敲。大型軟件受到競(jìng)爭對(duì)手和黑產(chǎn)組織的威脅，小型軟件通過掃描式隨機(jī)攻擊侵入服務(wù)器，稍有疏忽的平臺(tái)被利用。

啟動(dòng)一個(gè)新是一個(gè)令人興奮的項(xiàng)目，充滿了許多重要的步驟和決定。但是，作為的所有者，您不僅要處理被入侵的后果，還要對(duì)其頁面上的內(nèi)容以及人們用來與之交互的機(jī)制負(fù)責(zé)。如果您計(jì)劃存儲(chǔ)用戶信息（例如密碼或電話號(hào)碼），則必須妥善保護(hù)這些數(shù)據(jù)，否則根據(jù)某些法律，您可能會(huì)因數(shù)據(jù)泄露事件而受到罰款。
選擇可靠的主機(jī)服務(wù)商
在互聯(lián)網(wǎng)發(fā)展的早期，個(gè)人和公司將在本地化的數(shù)據(jù)中心或辦公室中獲取和維護(hù)自己的服務(wù)器，而云計(jì)算從根本上轉(zhuǎn)變了這種模式，大多數(shù)的現(xiàn)在都是通過第三方提供商托管。云計(jì)算降低了所有者的管理成本和責(zé)任，也帶來了一些安全問題。如提供商遭受數(shù)據(jù)泄露或整個(gè)數(shù)據(jù)中心出現(xiàn)故障，您的可能會(huì)丟失重要信息，因此，選擇一個(gè)可靠的主機(jī)服務(wù)商至關(guān)重要。

接下來還得檢測(cè)網(wǎng)站的各項(xiàng)功能以及APP功能是否存在邏輯漏洞，越權(quán)漏洞，水平垂直等等，我們SINE安全技術(shù)詳細(xì)的對(duì)每一個(gè)功能都測(cè)試很多遍，一次，兩次，多次的反復(fù)進(jìn)行，在用戶重置密碼功能這里發(fā)現(xiàn)有漏洞，正常功能代碼設(shè)計(jì)是這樣的流程，首先會(huì)判斷用戶的賬號(hào)是否存在，以及下一步用戶的是否與數(shù)據(jù)庫里的一致，這里簡單地做了一下安全校驗(yàn)，但是在獲取驗(yàn)證碼的時(shí)候并沒有做安全校驗(yàn)，導(dǎo)致可以post數(shù)據(jù)包，將為任意來獲取驗(yàn)證碼，利用驗(yàn)證碼來重置密碼。

討論回顧完上次整改的問題之后，理清了思路。然后我登錄了網(wǎng)站查看一下原因，因?yàn)榫W(wǎng)站只有一個(gè)上傳圖片的地方，我進(jìn)行抓包嘗試，使用了repeater重放包之后，發(fā)現(xiàn)返回包確實(shí)沒有返回文檔上傳路徑，然后我又嘗試了各種繞過，結(jié)果都不行。后苦思冥想得不到結(jié)果，然后去問一下這個(gè)云平臺(tái)給他們提供的這個(gè)告警是什么原因?？戳嗽破脚_(tái)反饋的結(jié)果里面查殺到有圖片碼，這個(gè)問題不大，上傳文檔沒有執(zhí)行權(quán)限，而且沒有返回文檔路徑，還對(duì)文檔名做了隨機(jī)更改，但是為啥會(huì)有這個(gè)jsp上傳成功了，這讓我百思不得其解。
當(dāng)我仔細(xì)云平臺(tái)提供的發(fā)現(xiàn)webshel數(shù)據(jù)的時(shí)候，我細(xì)心的觀察到了文檔名使用了base編碼，這個(gè)我很疑惑，都做了隨機(jī)函數(shù)了還做編碼干嘛，上次測(cè)試的時(shí)候是沒有做編碼的。我突然想到了問題關(guān)鍵，然后使用burpsuite的decoder模塊，將文檔名“1jsp”做了base編碼成“MS5Kc1A=”，然后發(fā)送成功反饋狀態(tài)碼200，再不是這個(gè)上傳失敗反饋500狀態(tài)碼報(bào)錯(cuò)了。
所以，這個(gè)問題所在是，在整改過程中研發(fā)人員對(duì)這個(gè)文檔名使用了base編碼，導(dǎo)致文檔名在存儲(chǔ)過程中會(huì)使用base解析，而我上傳文檔的時(shí)候?qū)⑦@個(gè)后綴名.jsp也做了這個(gè)base編碼，在存儲(chǔ)過程中.jsp也被成功解析，研發(fā)沒有對(duì)解析之后進(jìn)行白名單限制。其實(shí)這種編碼的更改是不必要的，畢竟原來已經(jīng)做了隨機(jī)數(shù)更改了文檔名了，再做編碼有點(diǎn)畫蛇添足了，這就是為啥程序bug改一個(gè)引發(fā)更多的bug原因。
SINE安全網(wǎng)站漏洞檢測(cè)時(shí)必須要人工去審計(jì)漏洞和查找漏洞找出問題所在并修復(fù)漏洞，對(duì)各項(xiàng)功能都進(jìn)行了全面的安全檢測(cè)。
http://mmsped.com