好，第三個(gè)的話就是對(duì)白盒測(cè)試，那么非常重要的一點(diǎn)就是你要知道如何去設(shè)計(jì)用例，如何去設(shè)計(jì)用例 好，設(shè)計(jì)用例的話，其實(shí)就是也就是你測(cè)試這個(gè)軟件的一個(gè)非常重要的邏輯思維這個(gè)東西。 因此就是說并不是說每個(gè)人都能夠隨隨便便去做一做一個(gè)很好的黑盒測(cè)試的工程師。
在對(duì)前端輸入過來的值進(jìn)行安全判斷，確認(rèn)變量值是否存在，如果存在將不會(huì)覆蓋，杜絕變量覆蓋導(dǎo)致?lián)饺霅阂鈽?gòu)造的sql注入語句代碼在GET請(qǐng)求，以及POST請(qǐng)求里，過濾非法字符的輸入。 '分號(hào)過濾 --過濾 %20字符過濾，單引號(hào)過濾，%百分號(hào)， and過濾，tab鍵值等的的安全過濾。如果對(duì)代碼不是太懂的話，也可以找網(wǎng)站安全公司來處理，國內(nèi)SINESAFE,啟明星辰，綠盟都是比較的。邏輯漏洞的修復(fù)辦法，對(duì)密碼找回功能頁面進(jìn)行安全校驗(yàn)，檢查所屬賬號(hào)的身份是否是當(dāng)前的，如果不是不能發(fā)送驗(yàn)證碼，其實(shí)就是代碼功能的邏輯設(shè)計(jì)出了問題，邏輯理順清楚了，就很容易的修復(fù)漏洞，也希望我們SINE安全分享的這次滲透測(cè)試過程能讓更多的人了解滲透測(cè)試，安全防患于未然。

應(yīng)對(duì)措施：文檔上傳的繞過方法網(wǎng)上一搜有很多（比如upload-labs的各種方法、繞防火墻的各種方法（雖然很多已經(jīng)過時(shí)），可能還有些沒有公開的方法，總結(jié)一下：1.常規(guī)的繞過方法：文檔后綴（大小寫、文檔別名等等）、文檔名（文檔名加分號(hào)、引號(hào)等等）、文檔內(nèi)容（比如圖片馬）、請(qǐng)求包結(jié)構(gòu)等等。
2.結(jié)合服務(wù)器解析漏洞：IIS、apache、nginx的特定版本都有對(duì)應(yīng)的解析漏洞。3.利用文檔包含漏洞：如果有文檔包含漏洞，可以結(jié)合文檔包含漏洞，上傳馬。4.利用組件漏洞：如果知道組件版本和名稱，可以網(wǎng)上找一下相應(yīng)漏洞。注：手動(dòng)一個(gè)一個(gè)去試各種方法，的確很麻煩，可以試試burpsuit的上傳插件upload-scanner(但本人覺得并不好用）。

近，攻擊者接管賬戶的嘗試在不斷增加。錯(cuò)誤消息過于“詳細(xì)周到”，往往使此類攻擊更加容易。冗長的錯(cuò)誤消息會(huì)引導(dǎo)攻擊者了解他們需要進(jìn)行哪些更改才能偽裝成合法請(qǐng)求。API專為低負(fù)載下的高速交易而設(shè)計(jì)，使攻擊者可以使用高性能系統(tǒng)找出有效賬戶，然后嘗試登錄并更改密碼進(jìn)行利用。解決方法：不要拿用戶體驗(yàn)作為擋牌，有些看起來有利于用戶體驗(yàn)的做法，未必有利于安全性。系統(tǒng)返回的錯(cuò)誤信息不應(yīng)該包括錯(cuò)誤的用戶名或錯(cuò)誤的密碼，甚至不能包含錯(cuò)誤信息的類別（用戶名還是密碼錯(cuò)誤）。用于查詢數(shù)據(jù)的錯(cuò)誤消息也是如此，如果查詢/搜索格式不正確或由于某種原因而無法執(zhí)行，則應(yīng)該返回“沒有營養(yǎng)”的錯(cuò)誤信息：“糟糕，哪里出錯(cuò)了”。

文件上傳漏洞。造成文件上傳漏洞的主要原因是應(yīng)用程序中有上傳功能，但上傳的文件沒有通過嚴(yán)格的合法性檢查或者檢查功能有缺陷，導(dǎo)致木馬文件上傳到服務(wù)器。文件上傳漏洞危害大，因?yàn)閻阂獯a可以直接上傳到服務(wù)器，可能造成服務(wù)器網(wǎng)頁修改、網(wǎng)站暫停、服務(wù)器遠(yuǎn)程控制、后門安裝等嚴(yán)重后果。文件上傳的漏洞主要是通過前端JS旁路、文件名旁路和Content-Type旁路上傳惡意代碼。
SINE安全網(wǎng)站漏洞檢測(cè)時(shí)必須要人工去審計(jì)漏洞和查找漏洞找出問題所在并修復(fù)漏洞，對(duì)各項(xiàng)功能都進(jìn)行了全面的安全檢測(cè)。
http://mmsped.com