***检测网站漏洞过程与修复方案

电玩女神 2022-01-13 00:45 279阅读 0赞

什么是网站\*\*\*测试？ 该如何做网站安全检测

网站的\*\*\*测试简单来 说就是模拟\*\*\*者的手法以及\*\*\*手段去测试网站的漏洞，对网站进行\*\*\*\*\*\*测试，对网站的代码漏洞进行挖掘，上传脚本文件获取网站的控 制权，并对测试出来的漏洞以及整体的网站检测出具详细的\*\*\*测试安全报告。

![\*\*\*检测网站漏洞过程与修复方案][watermark_size_16_text_QDUxQ1RP5Y2a5a6i_color_FFFFFF_t_100_g_se_x_10_y_10_shadow_90_type_ZmFuZ3poZW5naGVpdGk]

\*\*\*测试的流程一般都是要对网站的域 名以及其他相关信息，包括服务器系统，服务器IP，网站使用的主流CMS系统进行手动的获取与安全分析，来发现网站的漏洞以及 服务器的漏洞，包括有些服务器的安全配置有问题，或者是服务器安装的软件存在漏洞，网站代 码存在的漏洞，像SQL注入漏洞，以及XSS跨站\*\*\*漏洞，远程代码执行漏洞，csrf欺骗\*\*\*漏 洞，而这个\*\*\*测试的流程都要站到一个\*\*\*者的角度去进行安全测试，一般都会大量的安全测 试漏洞，主动进行\*\*\*\*\*\*，在整个网站\*\*\*测试中发现的网站安全问题，给网站后期发展带来 的影响进行安全评估并提供相应的网站安全解决方案，形成一个详细，具体的安全方案给客户， 并帮助客户网站进行漏洞修复，网站安全加固，防止被恶意\*\*\*。

网站\*\*\*测试的种类又分2大类，一种 是白盒测试，一种是黑盒测试，我们来详细的剖析一下，网站的黑盒测试就是网站\*\*\*技术人员并未获取任何网站的管理账号密码 ，没有任何的网站相关机密信息，手里只知道网站的地址，模拟真实的\*\*\*者对网站进行全面的 \*\*\*测试，采用国内常用的\*\*\*测试工具以及\*\*\*测试技术对网站进行\*\*\*\*\*\*，来找到网站的 漏洞并对找到的漏洞进行安全风险评估以及会造成的安全损失有多少，形成一个整体的安全评估 报告。黑盒测试比较耗时耗力，有的甚至需要半个月一个月的进行\*\*\*测试才能完全的找到漏洞 ，对\*\*\*测试的技术要求也较高，国内\*\*\*测试的工程师工资普遍可以达到1W以上。  
![\*\*\*检测网站漏洞过程与修复方案][watermark_size_16_text_QDUxQ1RP5Y2a5a6i_color_FFFFFF_t_100_g_se_x_10_y_10_shadow_90_type_ZmFuZ3poZW5naGVpdGk 1]

那么什么是白盒测试？

网站的白盒测试最简单的来讲就是已经 获取到了网站的相关信息，包括网站的后台管理员账号密码，网站的源代码获取，网站的服务器系统权限，FTP账号密码都已获知 ，在这个前提下对网站进行\*\*\*测试，这样可以全面的对网站漏洞进行检测与测试，比黑盒测试 找到的漏洞会更多，因为熟知了代码是如何写的，就会找到更多漏洞，白盒测试时间较短，\*\*\* 测试结果较好，也可以精准的对网站漏洞进行修复，并提供安全报告以及网站安全防护方案。

网站\*\*\*测试的方法与过程

![\*\*\*检测网站漏洞过程与修复方案][watermark_size_16_text_QDUxQ1RP5Y2a5a6i_color_FFFFFF_t_100_g_se_x_10_y_10_shadow_90_type_ZmFuZ3poZW5naGVpdGk 2]

首先跟客户沟通确认\*\*\*测试的服务内 容，整个网站\*\*\*的内容，详细的写到服务合同中去，对有些网站\*\*\*测试的条件进行补充，付款方式，以及\*\*\*测试报告的要求 ，都要进行前期的沟通确定。然后接下来就是付款开 工，对要进行\*\*\*测试的网站进行信息收集，收集网站的域名是在哪里买的，域名的whios的信 息，注册账号信息，以及网站使用的系统是开源的CMS，还是自己单独开发，像 dedecms,thinkphp,ecshop,discuz都是开源的系统，再收集网站使用的IP，是否存在同一IP下多个网站使用，网 站公开的信息收集，网站管理员的对外联系方式，网站的反馈功能，会员注册功能，上传功能的 地址收集。服务器开放的端口，以及服务器的系统windows还是linux系统，使用的PHP版本， 网站环境是IIS,还是nginx,apache等版本的收集。

然后对收集来的信息进行总结，并建立 一个\*\*\*测试流程图，分配给\*\*\*测试任务给不同的技术人员，从多个方面去负责\*\*\*，每一个技术负责一个点，进行深度挖掘漏 洞，并测试安全问题。

在确定网站漏洞后，再进行详细的归总 ，看是否能拿下网站的管理权限，是否可以上传脚本\*\*\*进行控制网站，以及能否\*\*\*拿到服务器的管理权限。制定详细的\*\*\* 测试计划来达到\*\*\*的目的。

对漏洞进行代码分析，包括检测出来的 漏洞是在哪里，通过这个漏洞可以获取那些机密信息，对于代码的逻辑漏洞也进行分析和详细的测试。接下来就是进行\*\*\*\*\*\* ，对网站进行实战的\*\*\*测试，通过利用工具来\*\*\*网站，整个网站\*\*\*测试过程总结到一个 安全报告，对于\*\*\*测试出来的漏洞进行详细的记录，是什么代码导致什么的漏洞，以及修复 建议都要写到报告当中。以上就是网站\*\*\*测试的过程跟服务的 内容，如果您的网站需要做\*\*\*测试服务，可以联系专业的网站安全公司，国内像SINE安全，绿盟，启明星辰都是比较有名的安全 公司。

转载于:https://blog.51cto.com/14149641/2335829

[watermark_size_16_text_QDUxQ1RP5Y2a5a6i_color_FFFFFF_t_100_g_se_x_10_y_10_shadow_90_type_ZmFuZ3poZW5naGVpdGk]: https://s1.51cto.com/images/blog/201812/27/90120ac19f7206b68f4d4cabbf748325.jpg?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=
[watermark_size_16_text_QDUxQ1RP5Y2a5a6i_color_FFFFFF_t_100_g_se_x_10_y_10_shadow_90_type_ZmFuZ3poZW5naGVpdGk 1]: https://s1.51cto.com/images/blog/201812/27/ca8934dc2f58db5f000cbf185aedaecd.jpg?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=
[watermark_size_16_text_QDUxQ1RP5Y2a5a6i_color_FFFFFF_t_100_g_se_x_10_y_10_shadow_90_type_ZmFuZ3poZW5naGVpdGk 2]: https://s1.51cto.com/images/blog/201812/27/838aa94a155dd648ee7414f8ba35537d.jpg?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=