好，第二個的話，就是咱們?nèi)プ龉δ軠y試的話，你要知道你我們經(jīng)常做的一些測試的策略有哪一些，然后你是從哪些角度去做這一些測試策略的比如說這些測試策略的話有咱們的功能測試，然后 UI 兼容性測試、穩(wěn)定性測試，那這些東西你如何去做你是如何去實施的，你會從哪些角度去測試，這個也是做做咱們黑盒測試必須要掌握的一個。
其實從開發(fā)的角度，如果要保證代碼至少在邏輯方面沒有明顯的漏洞，還是有些繁瑣的。舉個簡單的例子，如網(wǎng)站的數(shù)據(jù)檢驗功能，不允許前端提交不符合當(dāng)前要求規(guī)范的數(shù)據(jù)（比如年齡文本框部分不能提交字母）。那么為了實現(xiàn)這個功能，首先開發(fā)者肯定要在前端實現(xiàn)該功能，直接在前端阻止用戶提交不符規(guī)范的數(shù)據(jù)，否則用戶體驗會很差，且占用服務(wù)器端的資源。
但是沒有安全意識或覺得麻煩的開發(fā)者就會僅僅在前端用Js進行校驗，后端沒有重復(fù)進行校驗。這樣就很容易給惡意用戶機會：比如不通過前端頁面，直接向后端接口發(fā)送數(shù)據(jù)：或者，前端代碼編寫不規(guī)范，用戶可以直接在瀏覽器控制臺中用自己寫的Js代碼覆蓋原有的Js代碼；或者，用戶還可以直接在瀏覽器中禁用Js；等等?？傊?，前端的傳過來的數(shù)據(jù)可信度基本上可以認為比較低，太容易被利用了。
而我的思路都是很簡單的，就是關(guān)注比較重要的幾個節(jié)點，看看有沒有可乘之機。如登錄、權(quán)限判定、數(shù)據(jù)加載等前后，對方是怎么做的，用了什么樣的技術(shù)，有沒有留下很明顯的漏洞可以讓我利用。像這兩個網(wǎng)站，加載的Js文檔都沒有進行混淆，注釋也都留著，還寫得很詳細。比較湊巧的是，這兩個網(wǎng)站都用到了比較多的前端的技術(shù)，也都用到了sessionStorage。

我們SINE安全在進行Web滲透測試中網(wǎng)站漏洞利用率的前五個漏洞。常見漏洞包括注入漏洞、文件上傳漏洞、文件包含漏洞、命令執(zhí)行漏洞、代碼執(zhí)行漏洞、跨站點腳本(XSS)漏洞、SSRF漏洞、XML外部實體(XXE)漏洞、反序列化漏洞、解析漏洞等。，因為這些安全漏洞可能被利用，從而影響業(yè)務(wù)。以下每一條路線都是一種安全風(fēng)險?？梢酝ㄟ^一系列的攻擊手段發(fā)現(xiàn)目標的安全弱點。如果安全漏洞被成功利用，目標將被控制，威脅目標資產(chǎn)或正常功能的使用，終導(dǎo)致業(yè)務(wù)受到影響。

以盜幣為主要目的的攻擊并非個例，隨著以為代表的數(shù)字的盛行，世界各地的交易中心成為了攻擊的一個新目標，頻頻爆出遭遇的攻擊，用戶賬戶被盜、用戶數(shù)據(jù)泄露、損失慘重等事件。

云的簡化運維特性可以幫用戶降低這方面風(fēng)險，但如果用戶在架構(gòu)上并沒有針對性的做署，安全問題仍然很突出。相比而言，大部分大企業(yè)有的 IT 部門，配備的信息安全團隊，每年有信息安全方面的預(yù)算，有助于他們抵御網(wǎng)絡(luò)攻擊和修復(fù)漏洞。如此一來，當(dāng)同樣受到網(wǎng)絡(luò)攻擊時，中小企業(yè)受到的影響顯然更加顯著。
SINE安全網(wǎng)站漏洞檢測時必須要人工去審計漏洞和查找漏洞找出問題所在并修復(fù)漏洞，對各項功能都進行了全面的安全檢測。
http://mmsped.com