許多客戶在網站，以及APP上線的同時，都會提前的對網站進行全面的滲透測試以及安全檢測，提前檢測出存在的網站漏洞，以免后期網站發(fā)展過程中出現重大的經濟損失，前段時間有客戶找到我們SINE安全公司做滲透測試服務，在此我們將把對客戶的整個滲透測試過程以及安全測試，發(fā)現的漏洞都記錄下來，分享給大家，也希望大家更深地去了解滲透測試。
能否理解并利用SQL注是區(qū)分一般攻擊者和攻擊者的一個標準。面對嚴密禁用詳細錯誤消息的防御，大多數新手會轉向下一目標。但攻破SQL盲注漏洞并非可能，我們可借助很多技術。它們允許攻擊者利用時間、響應和非主流通道（比如DNS)來提取數據。以SQL查詢方式提問一個返回TRUE或FALSE的簡單問題并重復進行上千次，數據庫王國的大門便通常不容易發(fā)現SQL盲注漏洞的原因是它們隱藏在暗處。一旦發(fā)現漏洞后，我們就會有們能支持多種多樣的數據庫。大量的漏洞可用。要明確什么時候應選擇基于響應而非時間的利用和什么時候使用重量級的非主流通道工具，這些細節(jié)可節(jié)省不少時間。考慮清楚大多數SQL盲注漏洞的自動化程度后，不管是新手還是，都會有大量的工具可用。它們中有些是圖形化界面，有些是命令行，它有了SQL注入和SQL盲注的基礎知識之后，現在轉向進一步利用漏洞：識別并利用一個不錯的注入點之后，如何快速發(fā)現注入并修復漏洞。

在安全運營工作當中，經常需要系統(tǒng)日志、設備威脅事件日志、告警日志等，各種日志進行收集匯聚，具體分析，通過日志來分析威脅事件發(fā)生源頭、相關聯(lián)的人和資產關系，以日志數據的角度，來追究溯源威脅事件發(fā)生的過程和基本概括原貌。評估威脅事件產生危害的影響范圍，關聯(lián)到人與資產，采取順藤摸瓜，將各種信息進行關聯(lián)，無論是二維關系數據聯(lián)系關聯(lián)，還是大數據分析建模，數據的分類采集都是基礎工作。
企業(yè)安全相關的各種日志數據，存放的位置、形式、大小、業(yè)務、使用人群都不同，如何根據不同業(yè)務規(guī)模的日志數據，采取相得益彰的技術形式進行合理的日志、聚合、分析、展示，就成為了一個課題，接下來，我們主要圍繞這些相關的主題進行討論分享，通過具體的日志聚合分析實踐，讓數據有效的關聯(lián)，使其在威脅事件分析、應急事件分析響應過程中讓數據起到方向性指引作用、起到探測器的作用，通過以上技術實踐，讓更多日志數據，有效的為企業(yè)安全運營提供更好的服務。
在實際工作當中，日志聚合分析工具種類繁多：ELK、Graylog、rk、Clickhouse、Superset等工具。我們以常用的日志數據使用場景為例子，結合這些工具的使用，向大家展示在實際數據工作中數據運營的情況，如何進行數據聚合分析，以提供實際的操作案例，能能直觀的了解數據管理的工作流程，之后可以重復實踐，不繞道走遠路，著重給出日志分析工具使用的要點，快速上手掌握相關工具的使用，掌握日常日志數據實操及相關方法。
為了方便實踐，盡量避免商業(yè)系統(tǒng)和設備在案例中的出現，以可以方便取材的開源項目為基礎，展開案例的講解，大家可以容易的在網上取材這些軟件系統(tǒng)，在本地完成實踐練習過程。本篇介紹入侵檢測系統(tǒng)Suricata及威脅日志事件管理系統(tǒng)Graylog，通過對入侵檢測系統(tǒng)的日志進行收集，來展現日志收集處理的典型過程。
開源IDS系統(tǒng)Suricata與威脅事件日志管理平臺Graylog結合，對網絡環(huán)境進行截取與日志收集分析統(tǒng)計，通過Suricata捕獲輸出的日志，經過Nxlog日志收集工具，將相關事件日志、告警日志、HTTP日志，通過Graylog進行日志聚合，對日志進行統(tǒng)計分析，分析網絡環(huán)境中存在各種威脅事件類型，通過自定義Suricata的檢測規(guī)則，控制入侵檢測的策略，以及入侵檢查系統(tǒng)的輸出結果。

獲取SSL證書
如果您計劃在Web服務器上傳輸任何敏感用戶數據，則必須使用安接字層(SSL)證書。SSL是一種在瀏覽器級別發(fā)生的加密協(xié)議，可確保所有傳入和傳出的Web請求都被外部人員屏蔽。作為所有者，您有責任從機構獲取有效的SSL證書并使其保持新。使用您的域名配置后，用戶將在瀏覽器中看到URL旁邊的掛鎖符號，這是安全的通用指標。
使用CDN加速
盡管近年來全球互聯(lián)網速度越來越快，連接不同地域時仍會遇到延遲，一種流行的解決方案是采用CDN加速。CDN提供商在不同區(qū)域維護一組服務器用于緩存內容的某些部分，以提高加載速度并實現大規(guī)模流量的負載均衡，降低DDoS攻擊損害。

文件上傳漏洞。造成文件上傳漏洞的主要原因是應用程序中有上傳功能，但上傳的文件沒有通過嚴格的合法性檢查或者檢查功能有缺陷，導致木馬文件上傳到服務器。文件上傳漏洞危害大，因為惡意代碼可以直接上傳到服務器，可能造成服務器網頁修改、網站暫停、服務器遠程控制、后門安裝等嚴重后果。文件上傳的漏洞主要是通過前端JS旁路、文件名旁路和Content-Type旁路上傳惡意代碼。
SINE安全網站漏洞檢測時必須要人工去審計漏洞和查找漏洞找出問題所在并修復漏洞，對各項功能都進行了全面的安全檢測。
http://m.daweidiaosu.cn