网站安全渗透包括，SQL漏洞，cookies注入漏洞，文件上传截断漏洞，目录遍历漏洞，URL跳转漏洞，在线编辑器漏洞，网站身份验证过滤漏洞，PHP远程代码执行漏洞，数据库暴库漏洞，网站路径漏洞，XSS跨站漏洞，默认后台及弱口令漏洞，任意文件漏洞，网站代码远程溢出漏洞，任意账号密码漏洞，程序功能上的逻辑漏洞，任意次数短信发送、任意或邮箱注册漏洞后台或者api接口安全认证绕过漏洞等等的安全渗透测试。
还要确定的是，哪些系统需要测试。虽然你不想漏掉可能会受到攻击的某个系统，但可能仍想分阶段把渗透测试外包出去，以便每个阶段专注于网络的不同部分。

WAF的界定WAF(网站web运用服务器防火墙)是根据实行一系列对于HTTP/HTTPS的安全策略来为Web运用保护的一款安全防护产品。通俗化而言就是说WAF产品里融合了一定的检测标准，会对每一请求的內容依据转化成的标准开展检测并对不符安全标准的做出相匹配的防御解决，进而确保Web运用的安全性与合理合法。

专业服务
渗透测试有时是作为外部审查的一部分而进行的。这种测试需要探查系统，以发现操作系统和任何网络服务，并检查这些网络服务有无漏洞。你可以用漏洞扫描器完成这些任务，但往往专业人士用的是不同的工具，而且他们比较熟悉这类替代性工具。
渗透测试的作用一方面在于，解释所用工具在探查过程中所得到的结果。只要手头有漏洞扫描器，谁都可以利用这种工具探查防火墙或者是网络的某些部分。但很少有人能全面地了解漏洞扫描器得到的结果，更别提另外进行测试，并证实漏洞扫描器所得报告的准确性了。
打一个比方来解释渗透测试的必要性。假设你要修建一座金库，并且你按照建设规范将金库建好了。此时是否就可以将金库立即投入使用呢？肯定不是！因为还不清楚整个金库系统的安全性如何，是否能够确保存放在金库的贵重东西万无一失。那么此时该如何做？可以请一些行业中安全方面的专家对这个金库进行全面检测和评估，比如检查金库门是否容易被破坏，检查金库的报警系统是否在异常出现的时候及时报警，检查所有的门、窗、通道等重点易突破的部位是否牢不可破，检查金库的管理安全制度、视频安防监控系统、出入口控制等等。甚至会请专人模拟入侵金库，验证金库的实际安全性，期望发现存在的问题。 这个过程就好比是对金库的渗透测试。这里金库就像是我们的信息系统，各种测试、检查、模拟入侵就是渗透测试。

如果你是刚刚学会使用网站服务器，还是建议安装一个防护软件，好多注册表规则和系统权限都不用自身去配置，防护软件有许多，手动做署和加固，如果对此不明白的话可以去的网站安全公司请求帮助，国内做的比较的安全企业如SINE安全，盾安全，启明星辰，绿盟等等。服务器的环境配置我也不是马上配置的。现在就这样先记录下来吧。以下是控制对用户的访问权限。具体的访问控制在写apache部署时也说了很多。总之，尽量写下严格的访问规则。事实上有些例如：防止强制破密，预防DDOS这种配置，靠机房的硬防去处理。数据库查询登陆用户不要使用超级管理员权限，web服务必须哪些权限就分派哪些权限，隐藏管理后台的错误信息。
普通的测试服务和漏洞扫描工具只能发现常规性的漏洞，而对于系统深层次的漏洞和业务逻辑漏洞一般扫描器是无法探测到的，因此需要选择人工安全渗透测试服务来对业务系统做更深层次、更全面的安全检查。
http://www.qdshtddzkj.com