许多客户在网站，以及APP上线的同时，都会提前的对网站进行全面的渗透测试以及安全检测，提前检测出存在的网站漏洞，以免后期网站发展过程中出现重大的经济损失，前段时间有客户找到我们SINE安全公司做渗透测试服务，在此我们将把对客户的整个渗透测试过程以及安全测试，发现的漏洞都记录下来，分享给大家，也希望大家更深地去了解渗透测试。
获取SSL证书
如果您计划在Web服务器上传输任何敏感用户数据，则必须使用安全套接字层(SSL)证书。SSL是一种在浏览器级别发生的加密协议，可确保所有传入和传出的Web请求都被外部人员屏蔽。作为所有者，您有责任从权威机构获取有效的SSL证书并使其保持新。使用您的域名配置后，用户将在浏览器中看到URL旁边的挂锁符号，这是安全的通用指标。
使用CDN加速
尽管近年来全球互联网速度越来越快，连接不同地域时仍会遇到延迟，一种流行的解决方案是采用CDN加速。CDN提供商在不同区域维护一组服务器用于缓存内容的某些部分，以提高加载速度并实现大规模流量的负载均衡，降低DDoS攻击损害。

在之前的一系列文章中，我们主要讲了内网渗透的一些知识，而在现实中，要进行内网渗透，一个很重要的前提便是：你得能进入内网啊！所以，从这篇文章开始，我们将开启Web渗透的学习（内网渗透系列还会继续长期更新哦）。渗透测试，是渗透测试完全模拟hack可能使用的攻击技术和漏洞发现技术，对目标网络、主机、应用的安全作深入的探测，帮助企业挖掘出正常业务流程中的安全缺陷和漏洞，助力企业先于hack发现安全风险，防患于未然。
Web应用的渗透测试流程主要分为3个阶段，分别是：信息收集→漏洞发现→漏洞利用。本文我们将对信息收集这一环节做一个基本的讲解。信息收集介绍进行web渗透测试之前，重要的一步那就是就是信息收集了，俗话说“渗透的本质也就是信息收集”，信息收集的深度，直接关系到渗透测试的成败。打好信息收集这一基础可以让测试者选择合适和准确的渗透测试攻击方式，缩短渗透测试的时间。一般来说收集的信息越多越好，通常包括以下几个部分：

云的简化运维特性可以帮用户降低这方面风险，但如果用户在架构上并没有针对性的做署，安全问题仍然很突出。相比而言，大部分大企业有专业的 IT 部门，配备专业的信息安全团队，每年有信息安全方面的预算，有助于他们抵御网络攻击和修复漏洞。如此一来，当同样受到网络攻击时，中小企业受到的影响显然更加显著。

开源IDS系统有很多种，比较有名的系统有Snort、Suricata、Zeek等，我们选用Suricata是因为Suricata有多年的发展历史，沉淀了的各种威胁检测规则，新版的Suricata3与DPDK相结合，处理大级别的数据分析，Suricata支持Lua语言工具支持，可以通过Lua扩展对分析的各种实用工具。
Suricata与Graylog结合的原因，是因为在Graylog开源社区版本对用数据的数据处理量没有上限限制，可以扩展很多的结点来扩展数据存储的空间和瞬时数据处理的并发能力。Suricata在日志输出方面，可以将日志的输出，输出成标准的JSON格式，通过日志脚本收集工具，可以将日志数据推送给Graylog日志收集服务，Graylog只要对应创建日志截取，就可以对JSON日志数据，进行实时快速的收集与对日志数据结构化和格式化。将JSON按Key和Value的形式进行拆分，然后保存到ElasticSearch数据库中，并提供一整套的查询API取得Suricata日志输出结果。
在通过API取得数据这种形式以外，Graylog自身就已经支持了插件扩展，数据面板，数据查询前台，本地化业务查询语言，类SQL语言。通过开源IDS与开源SIEM结合，用Suricata分析威胁产生日志，用Graylog收集威胁事件日志并进行管理分析，可以低成本的完成威胁事件分析检测系统，本文的重点还在于日志收集的实践，检测规则的创建为说明手段。
Suricata经过多年发展沉淀了很多有价值的威胁检测规则策略，当然误报的情况也是存在的，但可能通过手动干预Surcicata的规则，通过日志分析后，迭代式的规则，让系统随着时间生长更完善，社区也提供了可视化的规则管理方案，通过后台管理方式管理Suricata检测规则，规则编辑本文只是简单介绍。Scirius就是一种以Web界面方式的Suricata规则管理工具，可视化Web操作方式进行管理Suricata规则管理。
SINE安全网站漏洞检测时必须要人工去审计漏洞和查找漏洞找出问题所在并修复漏洞，对各项功能都进行了全面的安全检测。
http://www.qdshtddzkj.com