网站安全渗透包括，SQL漏洞，cookies注入漏洞，文件上传截断漏洞，目录遍历漏洞，URL跳转漏洞，在线编辑器漏洞，网站身份验证过滤漏洞，PHP远程代码执行漏洞，数据库暴库漏洞，网站路径漏洞，XSS跨站漏洞，默认后台及弱口令漏洞，任意文件漏洞，网站代码远程溢出漏洞，任意账号密码漏洞，程序功能上的逻辑漏洞，任意次数短信发送、任意或邮箱注册漏洞后台或者api接口安全认证绕过漏洞等等的安全渗透测试。
专业服务
渗透测试有时是作为外部审查的一部分而进行的。这种测试需要探查系统，以发现操作系统和任何网络服务，并检查这些网络服务有无漏洞。你可以用漏洞扫描器完成这些任务，但往往专业人士用的是不同的工具，而且他们比较熟悉这类替代性工具。
渗透测试的作用一方面在于，解释所用工具在探查过程中所得到的结果。只要手头有漏洞扫描器，谁都可以利用这种工具探查防火墙或者是网络的某些部分。但很少有人能全面地了解漏洞扫描器得到的结果，更别提另外进行测试，并证实漏洞扫描器所得报告的准确性了。
打一个比方来解释渗透测试的必要性。假设你要修建一座金库，并且你按照建设规范将金库建好了。此时是否就可以将金库立即投入使用呢？肯定不是！因为还不清楚整个金库系统的安全性如何，是否能够确保存放在金库的贵重东西万无一失。那么此时该如何做？可以请一些行业中安全方面的专家对这个金库进行全面检测和评估，比如检查金库门是否容易被破坏，检查金库的报警系统是否在异常出现的时候及时报警，检查所有的门、窗、通道等重点易突破的部位是否牢不可破，检查金库的管理安全制度、视频安防监控系统、出入口控制等等。甚至会请专人模拟入侵金库，验证金库的实际安全性，期望发现存在的问题。 这个过程就好比是对金库的渗透测试。这里金库就像是我们的信息系统，各种测试、检查、模拟入侵就是渗透测试。

第二步，用户必须要连接可以信赖的互联网当您需要登陆到网络服务器或Web网站来管理网站或浏览其他安全性资源时，一定要链接到安全性互联网。您必须防止链接到安全系数不太高的、不确定性或安全系数较弱的互联网(比如不明的对外开放无线接入点)。假如一定要浏览Web网站或Web网络服务器才可以链接到不安全性的互联网网站，应用安全代理IP访问能够防止网站安全问題。应用安全代理以后，能够依靠安全代理服务器链接安全性资源。

对上传文档的目录设定为脚本不能执行的权限要是Web服务器没法解析该文档目录下的脚本文档，即便攻击者发送了脚本制作文档，网站服务器自身也不容易受到损害。许多商业网站的发送运用，上传文档之后放进单独的储存上，做静态数据文档解决，一方面使用缓存文档加快，减少服务器硬件耗损；另一方面也避免了脚本木马实行的可能。

第二，谁在看这个检测结果？他们期望从这当中看到什么？检测结果的对象是谁？在大部分状况下网站渗透测试检测结果的阅读者通常会与你的技术能力不在一个级别。你需用尽可能让他们看得懂检测结果。而且需用检测结果中表示不一样阅读者关心的不一样一部分。例如，摘要一部分应该做到：简洁明了(不超过两页)，关键简述危害客户安全状态的漏洞及危害。在大部分状况下，高层们都没有时间关心你在网站渗透测试中采取的深奥的技术应用，因此前几页很至关重要，们很有可能只关注这几页的内容，因此必须需用量身定制。
普通的测试服务和漏洞扫描工具只能发现常规性的漏洞，而对于系统深层次的漏洞和业务逻辑漏洞一般扫描器是无法探测到的，因此需要选择人工安全渗透测试服务来对业务系统做更深层次、更全面的安全检查。
http://www.qdshtddzkj.com