關(guān)于黑盒測(cè)試中的業(yè)務(wù)功能安全測(cè)試，個(gè)如果說(shuō)你是去做那種性比較強(qiáng)的這一種業(yè)務(wù)，比如說(shuō)咱們的這一個(gè)銀行類的金融類的這些業(yè)務(wù)，那么它可能個(gè)要求就是你要有這個(gè)什么業(yè)務(wù)能力。 因?yàn)橛袝r(shí)候一些復(fù)雜的業(yè)務(wù)的話，并不是說(shuō)如果說(shuō)以前你沒(méi)做的話，他可能就光這個(gè)業(yè)務(wù)的培訓(xùn)那就要給你來(lái)個(gè)三個(gè)月或甚至半年的一個(gè)時(shí)間，因此說(shuō)對(duì)于這一種業(yè)務(wù)能力要求比較高的這種項(xiàng)目或者企業(yè)里面去招人的話，他個(gè)看中或者說(shuō)他有一個(gè)硬性的要求，就是說(shuō)你有沒(méi)有做過(guò)相關(guān)的這一些產(chǎn)品，如果做過(guò)的話，這一類人員他是優(yōu)先的。
能否理解并利用SQL注是區(qū)分一般攻擊者和攻擊者的一個(gè)標(biāo)準(zhǔn)。面對(duì)嚴(yán)密禁用詳細(xì)錯(cuò)誤消息的防御，大多數(shù)新手會(huì)轉(zhuǎn)向下一目標(biāo)。但攻破SQL盲注漏洞并非可能，我們可借助很多技術(shù)。它們?cè)试S攻擊者利用時(shí)間、響應(yīng)和非主流通道（比如DNS)來(lái)提取數(shù)據(jù)。以SQL查詢方式提問(wèn)一個(gè)返回TRUE或FALSE的簡(jiǎn)單問(wèn)題并重復(fù)進(jìn)行上千次，數(shù)據(jù)庫(kù)王國(guó)的大門便通常不容易發(fā)現(xiàn)SQL盲注漏洞的原因是它們隱藏在暗處。一旦發(fā)現(xiàn)漏洞后，我們就會(huì)有們能支持多種多樣的數(shù)據(jù)庫(kù)。大量的漏洞可用。要明確什么時(shí)候應(yīng)選擇基于響應(yīng)而非時(shí)間的利用和什么時(shí)候使用重量級(jí)的非主流通道工具，這些細(xì)節(jié)可節(jié)省不少時(shí)間。考慮清楚大多數(shù)SQL盲注漏洞的自動(dòng)化程度后，不管是新手還是，都會(huì)有大量的工具可用。它們中有些是圖形化界面，有些是命令行，它有了SQL注入和SQL盲注的基礎(chǔ)知識(shí)之后，現(xiàn)在轉(zhuǎn)向進(jìn)一步利用漏洞：識(shí)別并利用一個(gè)不錯(cuò)的注入點(diǎn)之后，如何快速發(fā)現(xiàn)注入并修復(fù)漏洞。

開源IDS系統(tǒng)有很多種，比較有名的系統(tǒng)有Snort、Suricata、Zeek等，我們選用Suricata是因?yàn)镾uricata有多年的發(fā)展歷史，沉淀了的各種威脅檢測(cè)規(guī)則，新版的Suricata3與DPDK相結(jié)合，處理大級(jí)別的數(shù)據(jù)分析，Suricata支持Lua語(yǔ)言工具支持，可以通過(guò)Lua擴(kuò)展對(duì)分析的各種實(shí)用工具。
Suricata與Graylog結(jié)合的原因，是因?yàn)樵贕raylog開源社區(qū)版本對(duì)用數(shù)據(jù)的數(shù)據(jù)處理量沒(méi)有上限限制，可以擴(kuò)展很多的結(jié)點(diǎn)來(lái)擴(kuò)展數(shù)據(jù)存儲(chǔ)的空間和瞬時(shí)數(shù)據(jù)處理的并發(fā)能力。Suricata在日志輸出方面，可以將日志的輸出，輸出成標(biāo)準(zhǔn)的JSON格式，通過(guò)日志腳本收集工具，可以將日志數(shù)據(jù)推送給Graylog日志收集服務(wù)，Graylog只要對(duì)應(yīng)創(chuàng)建日志截取，就可以對(duì)JSON日志數(shù)據(jù)，進(jìn)行實(shí)時(shí)快速的收集與對(duì)日志數(shù)據(jù)結(jié)構(gòu)化和格式化。將JSON按Key和Value的形式進(jìn)行拆分，然后保存到ElasticSearch數(shù)據(jù)庫(kù)中，并提供一整套的查詢API取得Suricata日志輸出結(jié)果。
在通過(guò)API取得數(shù)據(jù)這種形式以外，Graylog自身就已經(jīng)支持了插件擴(kuò)展，數(shù)據(jù)面板，數(shù)據(jù)查詢前臺(tái)，本地化業(yè)務(wù)查詢語(yǔ)言，類SQL語(yǔ)言。通過(guò)開源IDS與開源SIEM結(jié)合，用Suricata分析威脅產(chǎn)生日志，用Graylog收集威脅事件日志并進(jìn)行管理分析，可以低成本的完成威脅事件分析檢測(cè)系統(tǒng)，本文的重點(diǎn)還在于日志收集的實(shí)踐，檢測(cè)規(guī)則的創(chuàng)建為說(shuō)明手段。
Suricata經(jīng)過(guò)多年發(fā)展沉淀了很多有價(jià)值的威脅檢測(cè)規(guī)則策略，當(dāng)然誤報(bào)的情況也是存在的，但可能通過(guò)手動(dòng)干預(yù)Surcicata的規(guī)則，通過(guò)日志分析后，迭代式的規(guī)則，讓系統(tǒng)隨著時(shí)間生長(zhǎng)更完善，社區(qū)也提供了可視化的規(guī)則管理方案，通過(guò)后臺(tái)管理方式管理Suricata檢測(cè)規(guī)則，規(guī)則編輯本文只是簡(jiǎn)單介紹。Scirius就是一種以Web界面方式的Suricata規(guī)則管理工具，可視化Web操作方式進(jìn)行管理Suricata規(guī)則管理。

下面開始我們的整個(gè)滲透測(cè)試過(guò)程，首先客戶授權(quán)我們進(jìn)行網(wǎng)站安全測(cè)試，我們才能放開手的去干，首先檢測(cè)的是網(wǎng)站是否存在SQL注入漏洞，我們SINE安全在檢測(cè)網(wǎng)站是否有sql注入的時(shí)候都會(huì)配合查看mysql數(shù)據(jù)庫(kù)的日志來(lái)查詢我們提交的SQL語(yǔ)句是否成功的執(zhí)行，那么很多人會(huì)問(wèn)該如何開啟數(shù)據(jù)庫(kù)的日志，如何查看呢？首先連接linux服務(wù)器的SSH端口，利用root的賬號(hào)密碼進(jìn)服務(wù)器，打開mysql的配置文件mysqld.cnf編輯general_log_file=（log日志的），general_log=1，在服務(wù)器里輸入tail -f （log），來(lái)查看實(shí)時(shí)的數(shù)據(jù)庫(kù)語(yǔ)句執(zhí)行日志。當(dāng)我們SINE安全技術(shù)在測(cè)試SQL注入漏洞的時(shí)候，就會(huì)實(shí)時(shí)的看到是否有惡意的SQL語(yǔ)句執(zhí)行成功，如果有那么數(shù)據(jù)庫(kù)日志就會(huì)出現(xiàn)錯(cuò)誤提示，在滲透測(cè)試中是很方便的，也更利于查找漏洞。

云的簡(jiǎn)化運(yùn)維特性可以幫用戶降低這方面風(fēng)險(xiǎn)，但如果用戶在架構(gòu)上并沒(méi)有針對(duì)性的做署，安全問(wèn)題仍然很突出。相比而言，大部分大企業(yè)有的 IT 部門，配備的信息安全團(tuán)隊(duì)，每年有信息安全方面的預(yù)算，有助于他們抵御網(wǎng)絡(luò)攻擊和修復(fù)漏洞。如此一來(lái)，當(dāng)同樣受到網(wǎng)絡(luò)攻擊時(shí)，中小企業(yè)受到的影響顯然更加顯著。
SINE安全網(wǎng)站漏洞檢測(cè)時(shí)必須要人工去審計(jì)漏洞和查找漏洞找出問(wèn)題所在并修復(fù)漏洞，對(duì)各項(xiàng)功能都進(jìn)行了全面的安全檢測(cè)。
http://cabgv.cn