大多数防御传统的基于特征识别的入侵防御技术或内容过滤技术，对保护网站抵御攻击的效果不佳。比如对SQL注入、跨站脚本这种特征不的网站攻击，基于特征匹配技术防御攻击，不能阻断攻击。因为们可以通过构建任意表达式来绕过防御设备固化的特征库，比如：and 1=1 和 and 2=2是一类数据库语句，但可以人为任意构造数字构成同类语句的不同特征。而and、=等这些标识在WEB提交数据库应用中又是普遍存在的表达符号，不能作为攻击的特征。因此，这就很难基于特征标识来构建一个阻断SQL注入攻击的防御系统。导致目 前有很多将SQL注入成为入侵网站的攻击技术。基于应用层构建的攻击，防火墙更是束手无策。
接下来我们就要进入到逻辑漏洞的挖掘环节了，大家有没有一点小期待啊，好了，不扯了，下面我们进入正题。逻辑漏洞是很多的工具所无法发现的，大部分都是手工挖掘出来的。经过测试我们会发现，本网站内商品存在两项漏洞，总体思路如下：在提交订单时，后端未校验用户购买的数量和前端提交的数量是否一致；第二项，攻击者可以通过更改购买某一商品，这一产品的数量限制，创建订单提交支付请求后，使攻击者即使在未完成订单支付前，也会扣除商品库存，使恶意用户可以无限制下单，导致他人无法参与购买这一产品，恶意用户也可以将所有商品的库存为0，使其他用户购买时，将显示库存不足，无常购买。

保护数据-SAAS业务
在不是非常严格的数据保护规范下，任何不经意间的个人数据处理都可以让你的公司在很短的时间内被起诉。
因此，企业需要了解通过发生的个人数据，收集，处理和存储过程的重要性，应仔细通过处理验证细节，根据国家和其他此类个人标准对其执行分类的整体数据收集程序，以便为访问者建立积极的体验。
SAAS业务需要了解其受众范围并建立Web安全性，以监控整个数据收集过程，同时也需要保护其个人数据数据库访问权限可控并且不受匿名网络参与者的影响，例如任何恶意SQL注入、跨站点脚本、克隆、网络、MITM和Boy-in-the-Browser攻击。
加强你的基础设施建设
企业应了解其托管范围，并保护其网络中易受攻击的接触点。
所有SAAS服务提供商都可能遭受DDOS和鱼叉式网络攻击，必要时应该聘请专业的团队来避免这些攻击以维持其在市场上的和安全性。
企业也可以有一个清单，以确保他们具备所有可能的安全性。

还发现一个问题就是从百度搜索点击进去，网站会直接跳转到du博网站上去。360提醒说是未经证实的du博网站，您访问的网站含有未经证实的du博相关内容，可能给您造成财产损失，请您谨慎访问。点忽略广告，继续，就会跳转到du博网站上去了。我们对客户的网站程序代码进行人工的安全检测，包括网站的漏洞检测，网站木马后门检测，首页加密代码的安全检测，发现网站存在任意文档上传漏洞，在后台管理目录下有个tupianfile可以绕过管理员登录，普通访问用户就可以直接上传数据过去，并上传任意文档到网站目录下，导致网站被hack上传了webshell.

这个逻辑很简单，正常的商品下单后，都是提交订单并且支付订单后才会扣除商品库存量，这种情况下，其他用户还可以继续提交订单购买本商品；我发现的这个漏洞是在提交订单后支付订单前，就扣除商品库存量，只要你提交订单，库存量就减少，会导致其他用户无法提交订单支付购买你已经提交的订单的商品。您说的那种“在支付过程中，其他人看到有库存，下单的话，会与这个订单冲突”的情况并不存在，麻烦您下次评论标点符号加清楚。意思就是假设总共101件商品，你下101个订单，会显示无库存，其他人会直接下不了订单；如果你下50个订单，其他人要继续购买本商品的话，提交的订单是剩下的51个订单里的，双方的支付不会有任何冲突，所以我认为这是一个逻辑漏洞，并且是通过审核的。我感觉自己已经讲得很清楚了，当然，我只是简单分享一下我的挖洞思路，一千个读者有一千个哈姆雷特，感谢您提出问题，我会在以后的文章里，把自己的观点表述清楚。
对服务器进行的安全检测，包括服务器安全日志分析，系统缓冲区溢出漏洞，网站漏洞、XSS跨站漏洞，PHP远程文件包含漏洞，FTP软件，备份软件，数据库软件等常用软件漏洞，利用入侵常用的途径，进行全面的风险评估，根据现状进行相应的安全加固方案。用思维去构建安全防线，知己知彼百战不殆，也只有真正的了解了服务器，才能做到化的安全保障。
http://www.qdshtddzkj.com