網(wǎng)站安全滲透包括，SQL漏洞，cookies注入漏洞，文件上傳截斷漏洞，目錄遍歷漏洞，URL跳轉(zhuǎn)漏洞，在線編輯器漏洞，網(wǎng)站身份驗證過濾漏洞，PHP遠(yuǎn)程代碼執(zhí)行漏洞，數(shù)據(jù)庫暴庫漏洞，網(wǎng)站路徑漏洞，XSS跨站漏洞，默認(rèn)后臺及弱口令漏洞，任意文件漏洞，網(wǎng)站代碼遠(yuǎn)程溢出漏洞，任意賬號密碼漏洞，程序功能上的邏輯漏洞，任意次數(shù)短信發(fā)送、任意或郵箱注冊漏洞后臺或者api接口安全認(rèn)證繞過漏洞等等的安全滲透測試。
Web的安全防護(hù)早已講過一些知識了，下邊再次說一下網(wǎng)站安全防護(hù)中的登陸密碼傳輸、比較敏感實際操作二次驗證、手機(jī)客戶端強(qiáng)認(rèn)證、驗證的不正確信息、避免強(qiáng)制破密碼、系統(tǒng)日志與等。一、登陸密碼傳輸?shù)顷戫撁婕叭亢蠖吮仨汄炞C的網(wǎng)頁，頁面必須用SSL、TSL或別的的安全傳輸技術(shù)開展瀏覽，原始登陸頁面務(wù)必應(yīng)用SSL、TSL瀏覽，不然網(wǎng)絡(luò)攻擊將會變更登錄表格的action特性，造成賬號登錄憑據(jù)泄漏，假如登陸后未應(yīng)用SSL、TSL瀏覽驗證網(wǎng)頁頁面，網(wǎng)絡(luò)攻擊會未數(shù)據(jù)加密的應(yīng)用程序ID，進(jìn)而嚴(yán)重危害客戶當(dāng)今主題活動應(yīng)用程序，所以，還應(yīng)當(dāng)盡量對登陸密碼開展二次數(shù)據(jù)加密，隨后在開展傳送。

如果你是剛剛學(xué)會使用網(wǎng)站服務(wù)器，還是建議安裝一個防護(hù)軟件，好多注冊表規(guī)則和系統(tǒng)權(quán)限都不用自身去配置，防護(hù)軟件有許多，手動做署和加固，如果對此不明白的話可以去的網(wǎng)站安全公司請求幫助，國內(nèi)做的比較的安全企業(yè)如SINE安全，盾安全，啟明星辰，綠盟等等。服務(wù)器的環(huán)境配置我也不是馬上配置的。現(xiàn)在就這樣先記錄下來吧。以下是控制對用戶的訪問權(quán)限。具體的訪問控制在寫apache部署時也說了很多?？傊M量寫下嚴(yán)格的訪問規(guī)則。事實上有些例如：防止強(qiáng)制破密，預(yù)防DDOS這種配置，靠機(jī)房的硬防去處理。數(shù)據(jù)庫查詢登陸用戶不要使用超級管理員權(quán)限，web服務(wù)必須哪些權(quán)限就分派哪些權(quán)限，隱藏管理后臺的錯誤信息。

在這里我跟大家分享一下關(guān)于服務(wù)器安全的知識點經(jīng)驗，雖說我很早以前想過要搞hack技術(shù)，然而由于種種原因我后都沒有搞hack技術(shù)，但是我一直很留意服務(wù)器安全領(lǐng)域的。很早以前我搭建服務(wù)器只是為了測驗我所學(xué)的知識點，安全沒有怎么留意，服務(wù)器一直以來被各種攻擊，我那時候也沒怎么留意，之后我一直真真正正去使用服務(wù)器去搭建正式的網(wǎng)站了，才覺得安全性問題的緊迫性。當(dāng)時服務(wù)器買的比較早，web環(huán)境用的study是相信大家對此環(huán)境都不陌生，相對比較便捷都是一鍵智能化的搭建，一開始會有默認(rèn)設(shè)置的界面，提示你配置成功了，事實上這種只是一個測驗界面，有許多比較敏感的數(shù)據(jù)信息和許多可以注入的漏洞，不管是iis還是tomcat這種一定要短時間內(nèi)把默認(rèn)設(shè)置界面掉。

滲透測試也許是你的網(wǎng)絡(luò)防御工具箱當(dāng)中的重要之一。應(yīng)該視之為各種安全審查的一部分，但要確保審查人員勝任這項工作。
安全評估報告 
· 根據(jù)不同的滲透測試結(jié)果，形成一套完整的安全報告。報告出所發(fā)現(xiàn)的漏洞以及修復(fù)方案。
· 根據(jù)發(fā)現(xiàn)的漏洞，分三個風(fēng)險級別，高危，中等，低危三個等級。 
· 我們不做攻擊，在洽談合作時,需要提供網(wǎng)站和服務(wù)器的所有權(quán)。
http://cabgv.cn