SQL注入: 检测网站是否存在SQL注入漏洞，如：INT型注入和String型注入，盲注、报错注入、编码宽字节注入、二次Urldecode注入、如果存在该漏洞，攻击者对注入点进行注入攻击，注入攻击是对数据库直接操作，可轻易获得网站的后台管理权限，甚至网站服务器的管理权限。并可能导致用户露。重要的敏感信息泄漏，SQL 注入可获取大量企业核心业务数据等接口问题引起的敏感信息泄露。
如今，大多数攻击进行的是基本的漏洞扫描，如果攻击得逞，目标就岌岌可危。如果攻击者企图对你站点进行漏洞扫描，他就会获得大量的防火墙日志消息，而监控网络的任何入侵检测系统（IDS）也会开始发送有关当前攻击的警报。如果你还没有试过，不妨利用漏洞扫描器结合IDS对网络来一番试验。别忘了首先获得对方的许可，因为，运行漏洞扫描器会使IDS引发警报。

“技术方面的详情”是表示你针对目标系统进行的所有技术检测的细节，需用修补你遇到的这些漏洞的人会很关心这部分内容。可是，他们并不关心你的扫描检测结果显示。直接堆积300多页的扫描检测结果显示是都没有意义的。建议以下：1、不可以直接在检测结果显示中堆积漏洞扫描工具的输出结果显示，除非是必须要用得着的。例如Nmap的输出结果显示不一定是把每一行都放进检测结果显示里。建议以下操作，例如扫描遇到网络中大批量主机开启了SNMP服务，建议采取-oA参数和grep过滤下主机索引和SNMP端口。

内部网站被攻击的因素：一般来说属于网站本身的原因。对于企业网站来说，这些网站被认为是用来充当门面形象的，安全和防范意识薄弱。这几乎是企业网站的常见问题。安全和防范意识大多数较弱，网站被攻击也是客观事实。更重要的是，大多数网站都为时已晚，无法摆脱攻击，对攻击的程度不够了解，严重攻击的真正损害是巨大的。像网站存在漏洞被入侵篡改了页面，导致网站显示一些与网站不相关的内容，或一些数据信息被透露，这都是因为程序代码上的漏洞导致被hack攻击的，建议大家在上线网站前一定要找的网站安全公司对网站代码进行全面的安全渗透测试服务，国内做的比较的如Sine安全，安恒信息，盾安全，铱迅等等。

也许你可能还是有疑问：我定期更新安全策略和程序，时时给系统打补丁，并采用了安全软件，以确保所有补丁都已打上，还需要渗透测试吗？需要！这些措施就好像是金库建设时的金库建设规范要求，你按照要求来建设并不表示可以高枕无忧。而请专业渗透测试人员（一般来自外部的专业安全服务公司）进行审查或渗透测试就好像是金库建设后的安全检测、评估和模拟入侵演习，来独立地检查你的网络安全策略和安全状态是否达到了期望。渗透测试能够通过识别安全问题来帮助了解当前的安全状况。到位的渗透测试可以证明你的防御确实有效，或者查出问题，帮助你阻挡可能潜在的攻击。提前发现网络中的漏洞，并进行必要的修补，就像是未雨绸缪；而被其他人发现漏洞并利用漏洞攻击系统，发生安全事故后的补救，就像是亡羊补牢。很明显未雨绸缪胜过亡羊补牢。
渗透测试能够通过识别安全问题来帮助一个单位理解当前的安全状况。这使促使许多单位开发操作规划来减少攻击或误用的威胁。
撰写良好的渗透测试结果可以帮助管理人员建立可靠的商业案例，以便证明所增加的安全性预算或者将安全性问题传达到管理层。
普通的测试服务和漏洞扫描工具只能发现常规性的漏洞，而对于系统深层次的漏洞和业务逻辑漏洞一般扫描器是无法探测到的，因此需要选择人工安全渗透测试服务来对业务系统做更深层次、更全面的安全检查。
http://www.qdshtddzkj.com