渗透测试,漏洞测试的同时我们SINE安全防护做到最极致

　　渗透测试,漏洞测试的同时我们SINE安全防护做到最极致

　　天气越来越凉了。在对客户网站code进行渗透测试和漏洞测试的同时，我们的SINE安全渗透技术必须对客户的网站source code进行全方位的安全检查和审计，只有真正了解网站，才能更好的渗透测试，发现网站的漏洞，尽量让客户的网站成为上线前最极致的安全防护。 网站后期，平台快速开发过程中，避免重大漏洞造成的经济损失。

　　首先分享一下我们前段时间在客户金融平台上的SINE安全渗透测试过程。我们在审计代码时发*敏*感*词*融平台网站的目录，包括哪些功能目录。这次我们查了一下，客户网站有会员注册功能、头像上传功能、银行卡添加、充值、提现、投资记录、意见反馈、个人信息修改等功能。

　　我们的 SINE Security 正在对 网站code 进行安全审计。使用的审计方法是对敏感函数和传输值进行跟踪调试，检查代码是否收录恶意代码，是否存在潜在漏洞，是否会导致网站k14@vulnerabilities，包括一些逻辑漏洞，垂直以及平行的未授权漏洞。

　　经过一般代码审计，发*敏*感*词*额增加。后台没有审核提现的功能。取而代之的是直接执行提现功能。

　　网站 也有远程代码执行漏洞。会导致网站被上传到webshel​​l，然后网站的权限和服务器的权限都会被下架，用户数据可能被篡改泄露。 .我们来看看这段代码，如下图：

　　我们来看看这个变量的值是怎么写的，怎么赋值的，$page, $dir = dirname(__FILE__).'/../backup/' 这个备份是自定义备份目录。 dirname是输出文件名，当我们使用helper定义这个类的时候，会调用代码中的IF语句来判断是否满足条件。如果遇到，就可以导致恶意代码远程插入，或者构造恶意代码执行，输出恶意文件到网站目录下，就像webshel​​l一样。以上是SINE Security在客户网站渗透测试服务中发现的部分漏洞，以及如何进行代码安全审计，分享漏洞测试流程。如果网站在运行过程中被攻击、数据被篡改等攻击问题，可以找专业的网站security公司进行渗透测试服务。国内的SINESAFE、NSFOCUS、启明星辰，都是比较好的，安全防范如果遇到麻烦事前找漏洞，修复漏洞，督促网站在上线前做到极致安全保护。 网站是安全的，用户可以放心使用，希望更多人了解渗透测试服务。