雖然現(xiàn)在的網(wǎng)站安全防護(hù)技術(shù)已經(jīng)得到了很大的提升，但是相應(yīng)地，一些網(wǎng)站入侵技術(shù)也會(huì)不斷地升級、進(jìn)化。如何建設(shè)網(wǎng)站，因此，企業(yè)在進(jìn)行網(wǎng)站建設(shè)管理的時(shí)候，一定不可以輕視網(wǎng)站安全這一塊，建議企業(yè)周期性、長期性地用一些基本方法來檢測企業(yè)網(wǎng)站的安全性，確保網(wǎng)站順利、正常地運(yùn)營下去。
假如你是hack，準(zhǔn)備攻擊一家企業(yè)，那么首先要做的件事就是識(shí)別盡可能多的API。我首先按常規(guī)方式使用目標(biāo)應(yīng)用程序，在瀏覽器中打開Web應(yīng)用程序或者在手機(jī)端安裝移動(dòng)應(yīng)用程序，然后使用代理監(jiān)視通信。代理能夠捕獲瀏覽器或移動(dòng)應(yīng)用程序?qū)蠖薟eb服務(wù)器發(fā)出的所有請求，從而使攻擊者可以對所有可用的API端點(diǎn)進(jìn)行分類。例如，大多數(shù)API都將API/V1/login作為身份驗(yàn)證端點(diǎn)。
如果目標(biāo)也是移動(dòng)應(yīng)用程序，則將應(yīng)用程序包拆開，并查看應(yīng)用程序內(nèi)部可用的API調(diào)用?？紤]到所有可能的活動(dòng)，攻擊者可以搜索無確保護(hù)用戶數(shù)據(jù)的常見配置錯(cuò)誤或API。后，攻擊者尋找API文檔。一些組織為第三方發(fā)布API文檔，但為所有用戶使用相同的API端點(diǎn)。有了一個(gè)不錯(cuò)的端點(diǎn)清單，攻擊者就可以測試標(biāo)準(zhǔn)用戶行為和異常行為測試，可以通過兩種方法找到有趣的漏洞。

近年來，各類頻繁遭受攻擊致使網(wǎng)絡(luò)癱瘓、內(nèi)容被篡改，商業(yè)機(jī)密和用戶隱私被取，使經(jīng)營者和用戶都損失慘重。電商和服務(wù)一直是網(wǎng)絡(luò)攻擊的重災(zāi)區(qū)，京東、當(dāng)當(dāng)網(wǎng)都曾遭受過攻擊，造成直接經(jīng)濟(jì)損失。
為什么愛找你的麻煩？
試想當(dāng)你的客戶訪問你的出現(xiàn)這樣的情況，不僅浪費(fèi)優(yōu)化推廣費(fèi)用和人力成本，還有可能對你的企業(yè)口碑以及造成惡劣的影響！再被一次次打擊的情況下，我們不禁要問：為什么愛找你的麻煩？
程序本身存在漏洞
很多企業(yè)的是在網(wǎng)上下載的開源代碼，或隨便找網(wǎng)建公司開發(fā)的，程序本身就存在漏洞風(fēng)險(xiǎn)。試想一下，你花請幾百或幾千元做的東西，兩天就出來了。是菜場買白菜嗎？安全能提高到哪里去？
解決方案：發(fā)現(xiàn)問題查找問題原因，組織技術(shù)團(tuán)隊(duì)進(jìn)行排查分析。

啟動(dòng)一個(gè)新是一個(gè)令人興奮的項(xiàng)目，充滿了許多重要的步驟和決定。但是，作為的所有者，您不僅要處理被入侵的后果，還要對其頁面上的內(nèi)容以及人們用來與之交互的機(jī)制負(fù)責(zé)。如果您計(jì)劃存儲(chǔ)用戶信息（例如密碼或電話號碼），則必須妥善保護(hù)這些數(shù)據(jù)，否則根據(jù)某些法律，您可能會(huì)因數(shù)據(jù)泄露事件而受到罰款。
選擇可靠的主機(jī)服務(wù)商
在互聯(lián)網(wǎng)發(fā)展的早期，個(gè)人和公司將在本地化的數(shù)據(jù)中心或辦公室中獲取和維護(hù)自己的服務(wù)器，而云計(jì)算從根本上轉(zhuǎn)變了這種模式，大多數(shù)的現(xiàn)在都是通過第三方提供商托管。云計(jì)算降低了所有者的管理成本和責(zé)任，也帶來了一些安全問題。如提供商遭受數(shù)據(jù)泄露或整個(gè)數(shù)據(jù)中心出現(xiàn)故障，您的可能會(huì)丟失重要信息，因此，選擇一個(gè)可靠的主機(jī)服務(wù)商至關(guān)重要。

接下來還得檢測網(wǎng)站的各項(xiàng)功能以及APP功能是否存在邏輯漏洞，越權(quán)漏洞，水平垂直等等，我們SINE安全技術(shù)詳細(xì)的對每一個(gè)功能都測試很多遍，一次，兩次，多次的反復(fù)進(jìn)行，在用戶重置密碼功能這里發(fā)現(xiàn)有漏洞，正常功能代碼設(shè)計(jì)是這樣的流程，首先會(huì)判斷用戶的賬號是否存在，以及下一步用戶的是否與數(shù)據(jù)庫里的一致，這里簡單地做了一下安全校驗(yàn)，但是在獲取驗(yàn)證碼的時(shí)候并沒有做安全校驗(yàn)，導(dǎo)致可以post數(shù)據(jù)包，將為任意來獲取驗(yàn)證碼，利用驗(yàn)證碼來重置密碼。
SINE安全網(wǎng)站漏洞檢測時(shí)必須要人工去審計(jì)漏洞和查找漏洞找出問題所在并修復(fù)漏洞，對各項(xiàng)功能都進(jìn)行了全面的安全檢測。
http://mmsped.com