虽然现在的网站安全防护技术已经得到了很大的提升，但是相应地，一些网站入侵技术也会不断地升级、进化。如何建设网站，因此，企业在进行网站建设管理的时候，一定不可以轻视网站安全这一块，建议企业周期性、长期性地用一些基本方法来检测企业网站的安全性，确保网站顺利、正常地运营下去。
在对前端输入过来的值进行安全判断，确认变量值是否存在，如果存在将不会覆盖，杜绝变量覆盖导致掺入恶意构造的sql注入语句代码在GET请求，以及POST请求里，过滤非法字符的输入。 '分号过滤 --过滤 %20字符过滤，单引号过滤，%百分号， and过滤，tab键值等的的安全过滤。如果对代码不是太懂的话，也可以找网站安全公司来处理，国内SINESAFE,启明星辰，绿盟都是比较的。逻辑漏洞的修复办法，对密码找回功能页面进行安全校验，检查所属账号的身份是否是当前的，如果不是不能发送验证码，其实就是代码功能的逻辑设计出了问题，逻辑理顺清楚了，就很容易的修复漏洞，也希望我们SINE安全分享的这次渗透测试过程能让更多的人了解渗透测试，安全防患于未然。

接下来还得检测网站的各项功能以及APP功能是否存在逻辑漏洞，越权漏洞，水平垂直等等，我们SINE安全技术详细的对每一个功能都测试很多遍，一次，两次，多次的反复进行，在用户重置密码功能这里发现有漏洞，正常功能代码设计是这样的流程，首先会判断用户的账号是否存在，以及下一步用户的是否与数据库里的一致，这里简单地做了一下安全校验，但是在获取验证码的时候并没有做安全校验，导致可以post数据包，将为任意来获取验证码，利用验证码来重置密码。

中小企业，为什么受伤的总是我？
然而，虽然云存在有这样那样的问题，但企业上云已经成为众多企业用户的共识，也是未来发展的必然趋势，越来越多的行业客户也已经开始从传统 IDC 迁移上云。虽然目前绝大部分客户都是将自有企业及业务系统等较轻量的架构上云，但从 CSDN 新出炉的《2017 中国软件开发者》中，安全仍然是大多数企业在上云时面临的头号问题。

在之前的一系列文章中，我们主要讲了内网渗透的一些知识，而在现实中，要进行内网渗透，一个很重要的前提便是：你得能进入内网啊！所以，从这篇文章开始，我们将开启Web渗透的学习（内网渗透系列还会继续长期更新哦）。渗透测试，是渗透测试完全模拟hack可能使用的攻击技术和漏洞发现技术，对目标网络、主机、应用的安全作深入的探测，帮助企业挖掘出正常业务流程中的安全缺陷和漏洞，助力企业先于hack发现安全风险，防患于未然。
Web应用的渗透测试流程主要分为3个阶段，分别是：信息收集→漏洞发现→漏洞利用。本文我们将对信息收集这一环节做一个基本的讲解。信息收集介绍进行web渗透测试之前，重要的一步那就是就是信息收集了，俗话说“渗透的本质也就是信息收集”，信息收集的深度，直接关系到渗透测试的成败。打好信息收集这一基础可以让测试者选择合适和准确的渗透测试攻击方式，缩短渗透测试的时间。一般来说收集的信息越多越好，通常包括以下几个部分：
SINE安全网站漏洞检测时必须要人工去审计漏洞和查找漏洞找出问题所在并修复漏洞，对各项功能都进行了全面的安全检测。
http://www.qdshtddzkj.com