虽然现在的网站安全防护技术已经得到了很大的提升，但是相应地，一些网站入侵技术也会不断地升级、进化。如何建设网站，因此，企业在进行网站建设管理的时候，一定不可以轻视网站安全这一块，建议企业周期性、长期性地用一些基本方法来检测企业网站的安全性，确保网站顺利、正常地运营下去。
在对前端输入过来的值进行安全判断，确认变量值是否存在，如果存在将不会覆盖，杜绝变量覆盖导致掺入恶意构造的sql注入语句代码在GET请求，以及POST请求里，过滤非法字符的输入。 '分号过滤 --过滤 %20字符过滤，单引号过滤，%百分号， and过滤，tab键值等的的安全过滤。如果对代码不是太懂的话，也可以找网站安全公司来处理，国内SINESAFE,启明星辰，绿盟都是比较的。逻辑漏洞的修复办法，对密码找回功能页面进行安全校验，检查所属账号的身份是否是当前的，如果不是不能发送验证码，其实就是代码功能的逻辑设计出了问题，逻辑理顺清楚了，就很容易的修复漏洞，也希望我们SINE安全分享的这次渗透测试过程能让更多的人了解渗透测试，安全防患于未然。

在之前的一系列文章中，我们主要讲了内网渗透的一些知识，而在现实中，要进行内网渗透，一个很重要的前提便是：你得能进入内网啊！所以，从这篇文章开始，我们将开启Web渗透的学习（内网渗透系列还会继续长期更新哦）。渗透测试，是渗透测试完全模拟hack可能使用的攻击技术和漏洞发现技术，对目标网络、主机、应用的安全作深入的探测，帮助企业挖掘出正常业务流程中的安全缺陷和漏洞，助力企业先于hack发现安全风险，防患于未然。
Web应用的渗透测试流程主要分为3个阶段，分别是：信息收集→漏洞发现→漏洞利用。本文我们将对信息收集这一环节做一个基本的讲解。信息收集介绍进行web渗透测试之前，重要的一步那就是就是信息收集了，俗话说“渗透的本质也就是信息收集”，信息收集的深度，直接关系到渗透测试的成败。打好信息收集这一基础可以让测试者选择合适和准确的渗透测试攻击方式，缩短渗透测试的时间。一般来说收集的信息越多越好，通常包括以下几个部分：

云的简化运维特性可以帮用户降低这方面风险，但如果用户在架构上并没有针对性的做署，安全问题仍然很突出。相比而言，大部分大企业有专业的 IT 部门，配备专业的信息安全团队，每年有信息安全方面的预算，有助于他们抵御网络攻击和修复漏洞。如此一来，当同样受到网络攻击时，中小企业受到的影响显然更加显著。

当攻击者通过API调用遍历攻击系统时，他们必须弄清楚可以发送些什么来获取数据。攻击者“信奉”这样的一个事实：即越复杂的系统，出错的地方越多。攻击者识别出API后，他们将对参数进行分类，然后尝试访问管理员（垂直特权升级）或另一个用户（水平特权升级）的数据以收集其他数据。通常，太多不必要的参数被暴露给了用户。
在近的研究项目中，我们对目标服务的API调用返回了大量数据，很多都是不必要的数据信息，例如付款网关的处理器密钥和可用的折扣信息等。这些“奖励信息”使攻击者可以更好地理解这些API调用的上下文和语法。攻击者不需要太多的想象力就能弄清楚下一步该怎么做。这些额外的参数为攻击者提供了丰富的攻击数据集。解决方法：如果将用户看到的内容范围限制为必需内容，限制关键数据的传输，并使数据查询结构未知，那么攻击者就很难对他们知道的参数进行爆密。
SINE安全网站漏洞检测时必须要人工去审计漏洞和查找漏洞找出问题所在并修复漏洞，对各项功能都进行了全面的安全检测。
http://www.qdshtddzkj.com