服務器安全滲透包括，內網滲透，FTP提權漏洞，SQL Server數據庫提權，Mysql提權漏洞，linux本地溢出漏洞，替換系統服務漏洞，遠程桌面認證繞過漏洞，端口映射漏洞，壓力測試，DDOS壓力測試，arp欺篡改頁面測試，DNS欺漏洞，會話劫持漏洞，以及虛擬主機等眾多應用程序系統的漏洞測試。
第三步，防止共享關鍵的登陸信息內容登陸保密信息的共享資源可能會致使很多潛在性的網站安全問題。關鍵的登陸信息內容不可以在Web網站管理人員和Web網絡服務器管理人員中間共享資源。針對具備登陸憑據的網站客戶，她們也不可以共享資源登陸憑據。網站客戶中間的登陸憑據越大，登陸憑據共享資源的范疇就會越廣，即便沒有訪問限制的人也會得到登陸憑據的共享資源信息內容。

這篇文章內容關鍵詳細介紹WAF的一些基本概念。WAF是為維護根據Web程序運行而設計的，我們科學研究WAF繞開的目地一是協助安服工作人員掌握滲透檢測中的檢測方法，二是可以對安全機器設備生產商出示一些安全提議，立即修補WAF存有的安全難題，以提高WAF的完備性和抗攻擊能力。三是期待網站開發人員搞清楚并并不是布署了WAF就可以無憂無慮了，要搞清楚系統漏洞造成的直接原因，能在代碼方面上就將其修補。

以外部需要訪問的Web或應用服務器為例，你應該考慮與滲透測試人員共享這些應用的源代碼，如果測試涉及這些腳本或程序的話。沒有源代碼，很難測試ASP或CGI腳本，事先認定攻擊者根本不會看到源代碼是不明智的。Web服務器軟件里面的漏洞往往會把腳本和應用暴露在遠程攻擊者面前。如果能夠獲得應用的源代碼，則可以提高測試該應用的效率。畢竟，你出錢是為了讓滲透測試人員查找漏洞，而不是浪費他們的時間。

測試方法
有些滲透測試人員通過使用兩套掃描器進行安全評估。這些工具至少能夠使整個過程實現部分自動化，這樣，技術嫻熟的人員就可以專注于所發現的問題。如果探查得更深入，則需要連接到任何可疑服務，某些情況下，還要利用漏洞。
商用漏洞掃描工具在實際應用中存在一個重要的問題：如果它所做的測試未能獲得肯定，許多產品往往會隱藏測試結果。譬如，有一款掃描器就存在這樣的缺點：要是它無法進入Cisco路由器，或者無法用SNMP獲得其軟件版本號，它就不會做出這樣的警告：該路由器容易受到某些拒絕服務（DoS）攻擊。如果不知道掃描器隱藏了某些信息（譬如它無法對某種漏洞進行測試），你可能誤以為網絡是安全的，而實際上，網絡的安全狀況可能是危險的。
除了找到合適工具以及具備資質的組織進行滲透測試外，還應該準確確定測試范圍。攻擊者會借助社會工程學、偷、賄賂或者破門而入等手法，獲得有關信息。真正的攻擊者是不會僅僅滿足于攻擊某個企業網絡的。通過該網絡再攻擊其它公司往往是的慣用伎倆。攻擊者甚至會通過這種方法進入企業的ISP。
安全評估報告 
· 根據不同的滲透測試結果，形成一套完整的安全報告。報告出所發現的漏洞以及修復方案。
· 根據發現的漏洞，分三個風險級別，高危，中等，低危三個等級。 
· 我們不做攻擊，在洽談合作時,需要提供網站和服務器的所有權。
http://m.daweidiaosu.cn