虽然现在的网站安全防护技术已经得到了很大的提升，但是相应地，一些网站入侵技术也会不断地升级、进化。如何建设网站，因此，企业在进行网站建设管理的时候，一定不可以轻视网站安全这一块，建议企业周期性、长期性地用一些基本方法来检测企业网站的安全性，确保网站顺利、正常地运营下去。
接下来还得检测网站的各项功能以及APP功能是否存在逻辑漏洞，越权漏洞，水平垂直等等，我们SINE安全技术详细的对每一个功能都测试很多遍，一次，两次，多次的反复进行，在用户重置密码功能这里发现有漏洞，正常功能代码设计是这样的流程，首先会判断用户的账号是否存在，以及下一步用户的是否与数据库里的一致，这里简单地做了一下安全校验，但是在获取验证码的时候并没有做安全校验，导致可以post数据包，将为任意来获取验证码，利用验证码来重置密码。

修改后台初始密码
每个都有一个后台账户，用于日常的维护更新，而很多后台初始密码都过于简单，在拿到后台管理账号密码时，要先把初始密码修改掉，帐号密码要有一定的复杂度，不要使用域名、年份、姓名、纯数字等元素，要知道密码越好记也就意味着越容易被攻破。

启动一个新是一个令人兴奋的项目，充满了许多重要的步骤和决定。但是，作为的所有者，您不仅要处理被入侵的后果，还要对其页面上的内容以及人们用来与之交互的机制负责。如果您计划存储用户信息（例如密码或电话号码），则必须妥善保护这些数据，否则根据某些法律，您可能会因数据泄露事件而受到罚款。
选择可靠的主机服务商
在互联网发展的早期，个人和公司将在本地化的数据中心或办公室中获取和维护自己的服务器，而云计算从根本上转变了这种模式，大多数的现在都是通过三方提供商托管。云计算降低了所有者的管理成本和责任，也带来了一些安全问题。如提供商遭受数据泄露或整个数据中心出现故障，您的可能会丢失重要信息，因此，选择一个可靠的主机服务商至关重要。

下面开始我们的整个渗透测试过程，首先客户授权我们进行网站安全测试，我们才能放开手的去干，首先检测的是网站是否存在SQL注入漏洞，我们SINE安全在检测网站是否有sql注入的时候都会配合查看mysql数据库的日志来查询我们提交的SQL语句是否成功的执行，那么很多人会问该如何开启数据库的日志，如何查看呢？首先连接linux服务器的SSH端口，利用root的账号密码进服务器，打开mysql的配置文件mysqld.cnf编辑general_log_file=（log日志的），general_log=1，在服务器里输入tail -f （log），来查看实时的数据库语句执行日志。当我们SINE安全技术在测试SQL注入漏洞的时候，就会实时的看到是否有恶意的SQL语句执行成功，如果有那么数据库日志就会出现错误提示，在渗透测试中是很方便的，也更利于查找漏洞。
SINE安全网站漏洞检测时必须要人工去审计漏洞和查找漏洞找出问题所在并修复漏洞，对各项功能都进行了全面的安全检测。
http://www.qdshtddzkj.com