網站安全滲透包括，SQL漏洞，cookies注入漏洞，文件上傳截斷漏洞，目錄遍歷漏洞，URL跳轉漏洞，在線編輯器漏洞，網站身份驗證過濾漏洞，PHP遠程代碼執行漏洞，數據庫暴庫漏洞，網站路徑漏洞，XSS跨站漏洞，默認后臺及弱口令漏洞，任意文件漏洞，網站代碼遠程溢出漏洞，任意賬號密碼漏洞，程序功能上的邏輯漏洞，任意次數短信發送、任意或郵箱注冊漏洞后臺或者api接口安全認證繞過漏洞等等的安全滲透測試。
Web的安全防護早已講過一些知識了，下邊再次說一下網站安全防護中的登陸密碼傳輸、比較敏感實際操作二次驗證、手機客戶端強認證、驗證的不正確信息、避免強制破密碼、系統日志與等。一、登陸密碼傳輸登陸頁面及全部后端必須驗證的網頁，頁面必須用SSL、TSL或別的的安全傳輸技術開展瀏覽，原始登陸頁面務必應用SSL、TSL瀏覽，不然網絡攻擊將會變更登錄表格的action特性，造成賬號登錄憑據泄漏，假如登陸后未應用SSL、TSL瀏覽驗證網頁頁面，網絡攻擊會未數據加密的應用程序ID，進而嚴重危害客戶當今主題活動應用程序，所以，還應當盡量對登陸密碼開展二次數據加密，隨后在開展傳送。

如果你是剛剛學會使用網站服務器，還是建議安裝一個防護軟件，好多注冊表規則和系統權限都不用自身去配置，防護軟件有許多，手動做署和加固，如果對此不明白的話可以去的網站安全公司請求幫助，國內做的比較的安全企業如SINE安全，盾安全，啟明星辰，綠盟等等。服務器的環境配置我也不是馬上配置的。現在就這樣先記錄下來吧。以下是控制對用戶的訪問權限。具體的訪問控制在寫apache部署時也說了很多。總之，盡量寫下嚴格的訪問規則。事實上有些例如：防止強制破密，預防DDOS這種配置，靠機房的硬防去處理。數據庫查詢登陸用戶不要使用超級管理員權限，web服務必須哪些權限就分派哪些權限，隱藏管理后臺的錯誤信息。

在這里我跟大家分享一下關于服務器安全的知識點經驗，雖說我很早以前想過要搞hack技術，然而由于種種原因我后都沒有搞hack技術，但是我一直很留意服務器安全領域的。很早以前我搭建服務器只是為了測驗我所學的知識點，安全沒有怎么留意，服務器一直以來被各種攻擊，我那時候也沒怎么留意，之后我一直真真正正去使用服務器去搭建正式的網站了，才覺得安全性問題的緊迫性。當時服務器買的比較早，web環境用的study是相信大家對此環境都不陌生，相對比較便捷都是一鍵智能化的搭建，一開始會有默認設置的界面，提示你配置成功了，事實上這種只是一個測驗界面，有許多比較敏感的數據信息和許多可以注入的漏洞，不管是iis還是tomcat這種一定要短時間內把默認設置界面掉。

滲透測試也許是你的網絡防御工具箱當中的重要之一。應該視之為各種安全審查的一部分，但要確保審查人員勝任這項工作。
安全評估報告 
· 根據不同的滲透測試結果，形成一套完整的安全報告。報告出所發現的漏洞以及修復方案。
· 根據發現的漏洞，分三個風險級別，高危，中等，低危三個等級。 
· 我們不做攻擊，在洽談合作時,需要提供網站和服務器的所有權。
http://m.daweidiaosu.cn