好，第二個(gè)的話，就是咱們?nèi)プ龉δ軠y(cè)試的話，你要知道你我們經(jīng)常做的一些測(cè)試的策略有哪一些，然后你是從哪些角度去做這一些測(cè)試策略的比如說(shuō)這些測(cè)試策略的話有咱們的功能測(cè)試，然后 UI 兼容性測(cè)試、穩(wěn)定性測(cè)試，那這些東西你如何去做你是如何去實(shí)施的，你會(huì)從哪些角度去測(cè)試，這個(gè)也是做做咱們黑盒測(cè)試必須要掌握的一個(gè)。
在對(duì)客戶的網(wǎng)站進(jìn)行服務(wù)的同時(shí)，我們首先要了解分析數(shù)據(jù)包以及網(wǎng)站的各項(xiàng)功能，有助于我們?cè)跐B透測(cè)試中發(fā)現(xiàn)漏洞，修復(fù)漏洞，綜合客戶網(wǎng)站的架構(gòu)，規(guī)模，以及數(shù)據(jù)庫(kù)類型，使用的服務(wù)器系統(tǒng)，是windows還是linux，前期都要收集信息，做到知彼知己百戰(zhàn)不殆。只有真正的了解了網(wǎng)站，才能一層一層地找出漏洞所在。網(wǎng)站使用的是php語(yǔ)言開(kāi)發(fā)，采用是mysql數(shù)據(jù)庫(kù)，客戶服務(wù)器用的是linux centos系統(tǒng)，用phpstudy一鍵環(huán)境搭建，PHP的版本是5.5，mysql數(shù)據(jù)庫(kù)版本是5.6.客戶網(wǎng)站是一個(gè)平臺(tái)，采用會(huì)員登錄，功能基本都是一些交互性的，會(huì)員資料，添加，與，在線反饋等等。

近年來(lái)，各類頻繁遭受攻擊致使網(wǎng)絡(luò)癱瘓、內(nèi)容被篡改，商業(yè)機(jī)密和用戶隱私被取，使經(jīng)營(yíng)者和用戶都損失慘重。電商和服務(wù)一直是網(wǎng)絡(luò)攻擊的重災(zāi)區(qū)，京東、當(dāng)當(dāng)網(wǎng)都曾遭受過(guò)攻擊，造成直接經(jīng)濟(jì)損失。
為什么愛(ài)找你的麻煩？
試想當(dāng)你的客戶訪問(wèn)你的出現(xiàn)這樣的情況，不僅浪費(fèi)優(yōu)化推廣費(fèi)用和人力成本，還有可能對(duì)你的企業(yè)口碑以及造成惡劣的影響！再被一次次打擊的情況下，我們不禁要問(wèn)：為什么愛(ài)找你的麻煩？
程序本身存在漏洞
很多企業(yè)的是在網(wǎng)上下載的開(kāi)源代碼，或隨便找網(wǎng)建公司開(kāi)發(fā)的，程序本身就存在漏洞風(fēng)險(xiǎn)。試想一下，你花請(qǐng)幾百或幾千元做的東西，兩天就出來(lái)了。是菜場(chǎng)買白菜嗎？安全能提高到哪里去？
解決方案：發(fā)現(xiàn)問(wèn)題查找問(wèn)題原因，組織技術(shù)團(tuán)隊(duì)進(jìn)行排查分析。

近，攻擊者接管賬戶的嘗試在不斷增加。錯(cuò)誤消息過(guò)于“詳細(xì)周到”，往往使此類攻擊更加容易。冗長(zhǎng)的錯(cuò)誤消息會(huì)引導(dǎo)攻擊者了解他們需要進(jìn)行哪些更改才能偽裝成合法請(qǐng)求。API專為低負(fù)載下的高速交易而設(shè)計(jì)，使攻擊者可以使用高性能系統(tǒng)找出有效賬戶，然后嘗試登錄并更改密碼進(jìn)行利用。解決方法：不要拿用戶體驗(yàn)作為擋牌，有些看起來(lái)有利于用戶體驗(yàn)的做法，未必有利于安全性。系統(tǒng)返回的錯(cuò)誤信息不應(yīng)該包括錯(cuò)誤的用戶名或錯(cuò)誤的密碼，甚至不能包含錯(cuò)誤信息的類別（用戶名還是密碼錯(cuò)誤）。用于查詢數(shù)據(jù)的錯(cuò)誤消息也是如此，如果查詢/搜索格式不正確或由于某種原因而無(wú)法執(zhí)行，則應(yīng)該返回“沒(méi)有營(yíng)養(yǎng)”的錯(cuò)誤信息：“糟糕，哪里出錯(cuò)了”。

當(dāng)攻擊者通過(guò)API調(diào)用遍歷攻擊系統(tǒng)時(shí)，他們必須弄清楚可以發(fā)送些什么來(lái)獲取數(shù)據(jù)。攻擊者“信奉”這樣的一個(gè)事實(shí)：即越復(fù)雜的系統(tǒng)，出錯(cuò)的地方越多。攻擊者識(shí)別出API后，他們將對(duì)參數(shù)進(jìn)行分類，然后嘗試訪問(wèn)管理員（垂直特權(quán)升級(jí)）或另一個(gè)用戶（水平特權(quán)升級(jí)）的數(shù)據(jù)以收集其他數(shù)據(jù)。通常，太多不必要的參數(shù)被暴露給了用戶。
在近的研究項(xiàng)目中，我們對(duì)目標(biāo)服務(wù)的API調(diào)用返回了大量數(shù)據(jù)，很多都是不必要的數(shù)據(jù)信息，例如付款網(wǎng)關(guān)的處理器密鑰和可用的折扣信息等。這些“獎(jiǎng)勵(lì)信息”使攻擊者可以更好地理解這些API調(diào)用的上下文和語(yǔ)法。攻擊者不需要太多的想象力就能弄清楚下一步該怎么做。這些額外的參數(shù)為攻擊者提供了豐富的攻擊數(shù)據(jù)集。解決方法：如果將用戶看到的內(nèi)容范圍限制為必需內(nèi)容，限制關(guān)鍵數(shù)據(jù)的傳輸，并使數(shù)據(jù)查詢結(jié)構(gòu)未知，那么攻擊者就很難對(duì)他們知道的參數(shù)進(jìn)行爆密。
SINE安全網(wǎng)站漏洞檢測(cè)時(shí)必須要人工去審計(jì)漏洞和查找漏洞找出問(wèn)題所在并修復(fù)漏洞，對(duì)各項(xiàng)功能都進(jìn)行了全面的安全檢測(cè)。
http://cabgv.cn