許多客戶在網站，以及APP上線的同時，都會提前的對網站進行全面的滲透測試以及安全檢測，提前檢測出存在的網站漏洞，以免后期網站發展過程中出現重大的經濟損失，前段時間有客戶找到我們SINE安全公司做滲透測試服務，在此我們將把對客戶的整個滲透測試過程以及安全測試，發現的漏洞都記錄下來，分享給大家，也希望大家更深地去了解滲透測試。
假如你是hack，準備攻擊一家企業，那么首先要做的件事就是識別盡可能多的API。我首先按常規方式使用目標應用程序，在瀏覽器中打開Web應用程序或者在手機端安裝移動應用程序，然后使用代理監視通信。代理能夠捕獲瀏覽器或移動應用程序對后端Web服務器發出的所有請求，從而使攻擊者可以對所有可用的API端點進行分類。例如，大多數API都將API/V1/login作為身份驗證端點。
如果目標也是移動應用程序，則將應用程序包拆開，并查看應用程序內部可用的API調用。考慮到所有可能的活動，攻擊者可以搜索無確保護用戶數據的常見配置錯誤或API。后，攻擊者尋找API文檔。一些組織為第三方發布API文檔，但為所有用戶使用相同的API端點。有了一個不錯的端點清單，攻擊者就可以測試標準用戶行為和異常行為測試，可以通過兩種方法找到有趣的漏洞。

其實從開發的角度，如果要保證代碼至少在邏輯方面沒有明顯的漏洞，還是有些繁瑣的。舉個簡單的例子，如網站的數據檢驗功能，不允許前端提交不符合當前要求規范的數據（比如年齡文本框部分不能提交字母）。那么為了實現這個功能，首先開發者肯定要在前端實現該功能，直接在前端阻止用戶提交不符規范的數據，否則用戶體驗會很差，且占用服務器端的資源。
但是沒有安全意識或覺得麻煩的開發者就會僅僅在前端用Js進行校驗，后端沒有重復進行校驗。這樣就很容易給惡意用戶機會：比如不通過前端頁面，直接向后端接口發送數據：或者，前端代碼編寫不規范，用戶可以直接在瀏覽器控制臺中用自己寫的Js代碼覆蓋原有的Js代碼；或者，用戶還可以直接在瀏覽器中禁用Js；等等。總之，前端的傳過來的數據可信度基本上可以認為比較低，太容易被利用了。
而我的思路都是很簡單的，就是關注比較重要的幾個節點，看看有沒有可乘之機。如登錄、權限判定、數據加載等前后，對方是怎么做的，用了什么樣的技術，有沒有留下很明顯的漏洞可以讓我利用。像這兩個網站，加載的Js文檔都沒有進行混淆，注釋也都留著，還寫得很詳細。比較湊巧的是，這兩個網站都用到了比較多的前端的技術，也都用到了sessionStorage。

下面開始我們的整個滲透測試過程，首先客戶授權我們進行網站安全測試，我們才能放開手的去干，首先檢測的是網站是否存在SQL注入漏洞，我們SINE安全在檢測網站是否有sql注入的時候都會配合查看mysql數據庫的日志來查詢我們提交的SQL語句是否成功的執行，那么很多人會問該如何開啟數據庫的日志，如何查看呢？首先連接linux服務器的SSH端口，利用root的賬號密碼進服務器，打開mysql的配置文件mysqld.cnf編輯general_log_file=（log日志的），general_log=1，在服務器里輸入tail -f （log），來查看實時的數據庫語句執行日志。當我們SINE安全技術在測試SQL注入漏洞的時候，就會實時的看到是否有惡意的SQL語句執行成功，如果有那么數據庫日志就會出現錯誤提示，在滲透測試中是很方便的，也更利于查找漏洞。

命令執行的漏洞。應用程序的某些函數需要調用可以執行系統命令的函數。如果這些功能或者功能的參數可以被用戶控制，那么惡意的命令就有可能通過命令連接器拼接成正常的功能，從而可以隨意執行系統命令。這就是命令執行漏洞，這是高風險漏洞之一。
SINE安全網站漏洞檢測時必須要人工去審計漏洞和查找漏洞找出問題所在并修復漏洞，對各項功能都進行了全面的安全檢測。
http://www.bathroomsetup.com