SQL注入: 检测网站是否存在SQL注入漏洞，如：INT型注入和String型注入，盲注、报错注入、编码宽字节注入、二次Urldecode注入、如果存在该漏洞，攻击者对注入点进行注入攻击，注入攻击是对数据库直接操作，可轻易获得网站的后台管理权限，甚至网站服务器的管理权限。并可能导致用户露。重要的敏感信息泄漏，SQL 注入可获取大量企业核心业务数据等接口问题引起的敏感信息泄露。
如今，大多数攻击进行的是基本的漏洞扫描，如果攻击得逞，目标就岌岌可危。如果攻击者企图对你站点进行漏洞扫描，他就会获得大量的防火墙日志消息，而监控网络的任何入侵检测系统（IDS）也会开始发送有关当前攻击的警报。如果你还没有试过，不妨利用漏洞扫描器结合IDS对网络来一番试验。别忘了首先获得对方的许可，因为，运行漏洞扫描器会使IDS引发警报。

渗透测试，是为了证明网络防御按照预期计划正常运行而提供的一种机制。不妨假设，你的公司定期更新安全策略和程序，时时给系统打补丁，并采用了漏洞扫描器等工具，以确保所有补丁都已打上。如果你早已做到了这些，为什么还要请外方进行审查或渗透测试呢？因为，渗透测试能够独立地检查你的网络策略，换句话说，就是给你的系统安了一双眼睛。而且，进行这类测试的，都是寻找网络系统安全漏洞的专业人士。
渗透测试 (penetration test)并没有一个标准的定义，国外一些安全组织达成共识的通用说法是：渗透测试是通过模拟恶意的攻击方法，来评估计算机网络系统安全的一种评估方法。这个过程包括对系统的任何弱点、技术缺陷或漏洞的主动分析，这个分析是从一个攻击者可能存在的位置来进行的，并且从这个位置有条件主动利用安全漏洞。
换句话来说，渗透测试是指渗透人员在不同的位置（比如从内网、从外网等位置）利用各种手段对某个特定网络进行测试，以期发现和挖掘系统中存在的漏洞，然后输出渗透测试报告，并提交给网络所有者。网络所有者根据渗透人员提供的渗透测试报告，可以清晰知晓系统中存在的安全隐患和问题。
我们认为渗透测试还具有的两个显著特点是：渗透测试是一个渐进的并且逐步深入的过程。渗透测试是选择不影响业务系统正常运行的攻击方法进行的测试。
作为网络安全防范的一种新技术，对于网络安全组织具有实际应用价值。但要找到一家合适的公司实施渗透测试并不容易。

第三步，防止共享关键的登陆信息内容登陆保密信息的共享资源可能会致使很多潜在性的网站安全问題。关键的登陆信息内容不可以在Web网站管理人员和Web网络服务器管理人员中间共享资源。针对具备登陆凭据的网站客户，她们也不可以共享资源登陆凭据。网站客户中间的登陆凭据越大，登陆凭据共享资源的范畴就会越广，即便沒有访问限制的人也会得到登陆凭据的共享资源信息内容。

你还应该制订测试准则，譬如说：渗透测试人员可以探查漏洞并进行测试，但不得利用，因为这可能会危及到你想要保护的系统。
安全评估报告
· 根据不同的渗透测试结果，形成一套完整的安全报告。报告出所发现的漏洞以及修复方案。
· 根据发现的漏洞，分三个风险级别，高危，中等，低危三个等级。
· 我们不做攻击，在洽谈合作时,需要提供网站和服务器的所有权。
http://www.qdshtddzkj.com