關(guān)于黑盒測試中的業(yè)務(wù)功能安全測試，個如果說你是去做那種性比較強(qiáng)的這一種業(yè)務(wù)，比如說咱們的這一個銀行類的金融類的這些業(yè)務(wù)，那么它可能個要求就是你要有這個什么業(yè)務(wù)能力。 因?yàn)橛袝r候一些復(fù)雜的業(yè)務(wù)的話，并不是說如果說以前你沒做的話，他可能就光這個業(yè)務(wù)的培訓(xùn)那就要給你來個三個月或甚至半年的一個時間，因此說對于這一種業(yè)務(wù)能力要求比較高的這種項(xiàng)目或者企業(yè)里面去招人的話，他個看中或者說他有一個硬性的要求，就是說你有沒有做過相關(guān)的這一些產(chǎn)品，如果做過的話，這一類人員他是優(yōu)先的。
能否理解并利用SQL注是區(qū)分一般攻擊者和攻擊者的一個標(biāo)準(zhǔn)。面對嚴(yán)密禁用詳細(xì)錯誤消息的防御，大多數(shù)新手會轉(zhuǎn)向下一目標(biāo)。但攻破SQL盲注漏洞并非可能，我們可借助很多技術(shù)。它們允許攻擊者利用時間、響應(yīng)和非主流通道（比如DNS)來提取數(shù)據(jù)。以SQL查詢方式提問一個返回TRUE或FALSE的簡單問題并重復(fù)進(jìn)行上千次，數(shù)據(jù)庫王國的大門便通常不容易發(fā)現(xiàn)SQL盲注漏洞的原因是它們隱藏在暗處。一旦發(fā)現(xiàn)漏洞后，我們就會有們能支持多種多樣的數(shù)據(jù)庫。大量的漏洞可用。要明確什么時候應(yīng)選擇基于響應(yīng)而非時間的利用和什么時候使用重量級的非主流通道工具，這些細(xì)節(jié)可節(jié)省不少時間?？紤]清楚大多數(shù)SQL盲注漏洞的自動化程度后，不管是新手還是，都會有大量的工具可用。它們中有些是圖形化界面，有些是命令行，它有了SQL注入和SQL盲注的基礎(chǔ)知識之后，現(xiàn)在轉(zhuǎn)向進(jìn)一步利用漏洞：識別并利用一個不錯的注入點(diǎn)之后，如何快速發(fā)現(xiàn)注入并修復(fù)漏洞。

開源IDS系統(tǒng)有很多種，比較有名的系統(tǒng)有Snort、Suricata、Zeek等，我們選用Suricata是因?yàn)镾uricata有多年的發(fā)展歷史，沉淀了的各種威脅檢測規(guī)則，新版的Suricata3與DPDK相結(jié)合，處理大級別的數(shù)據(jù)分析，Suricata支持Lua語言工具支持，可以通過Lua擴(kuò)展對分析的各種實(shí)用工具。
Suricata與Graylog結(jié)合的原因，是因?yàn)樵贕raylog開源社區(qū)版本對用數(shù)據(jù)的數(shù)據(jù)處理量沒有上限限制，可以擴(kuò)展很多的結(jié)點(diǎn)來擴(kuò)展數(shù)據(jù)存儲的空間和瞬時數(shù)據(jù)處理的并發(fā)能力。Suricata在日志輸出方面，可以將日志的輸出，輸出成標(biāo)準(zhǔn)的JSON格式，通過日志腳本收集工具，可以將日志數(shù)據(jù)推送給Graylog日志收集服務(wù)，Graylog只要對應(yīng)創(chuàng)建日志截取，就可以對JSON日志數(shù)據(jù)，進(jìn)行實(shí)時快速的收集與對日志數(shù)據(jù)結(jié)構(gòu)化和格式化。將JSON按Key和Value的形式進(jìn)行拆分，然后保存到ElasticSearch數(shù)據(jù)庫中，并提供一整套的查詢API取得Suricata日志輸出結(jié)果。
在通過API取得數(shù)據(jù)這種形式以外，Graylog自身就已經(jīng)支持了插件擴(kuò)展，數(shù)據(jù)面板，數(shù)據(jù)查詢前臺，本地化業(yè)務(wù)查詢語言，類SQL語言。通過開源IDS與開源SIEM結(jié)合，用Suricata分析威脅產(chǎn)生日志，用Graylog收集威脅事件日志并進(jìn)行管理分析，可以低成本的完成威脅事件分析檢測系統(tǒng)，本文的重點(diǎn)還在于日志收集的實(shí)踐，檢測規(guī)則的創(chuàng)建為說明手段。
Suricata經(jīng)過多年發(fā)展沉淀了很多有價值的威脅檢測規(guī)則策略，當(dāng)然誤報(bào)的情況也是存在的，但可能通過手動干預(yù)Surcicata的規(guī)則，通過日志分析后，迭代式的規(guī)則，讓系統(tǒng)隨著時間生長更完善，社區(qū)也提供了可視化的規(guī)則管理方案，通過后臺管理方式管理Suricata檢測規(guī)則，規(guī)則編輯本文只是簡單介紹。Scirius就是一種以Web界面方式的Suricata規(guī)則管理工具，可視化Web操作方式進(jìn)行管理Suricata規(guī)則管理。

下面開始我們的整個滲透測試過程，首先客戶授權(quán)我們進(jìn)行網(wǎng)站安全測試，我們才能放開手的去干，首先檢測的是網(wǎng)站是否存在SQL注入漏洞，我們SINE安全在檢測網(wǎng)站是否有sql注入的時候都會配合查看mysql數(shù)據(jù)庫的日志來查詢我們提交的SQL語句是否成功的執(zhí)行，那么很多人會問該如何開啟數(shù)據(jù)庫的日志，如何查看呢？首先連接linux服務(wù)器的SSH端口，利用root的賬號密碼進(jìn)服務(wù)器，打開mysql的配置文件mysqld.cnf編輯general_log_file=（log日志的），general_log=1，在服務(wù)器里輸入tail -f （log），來查看實(shí)時的數(shù)據(jù)庫語句執(zhí)行日志。當(dāng)我們SINE安全技術(shù)在測試SQL注入漏洞的時候，就會實(shí)時的看到是否有惡意的SQL語句執(zhí)行成功，如果有那么數(shù)據(jù)庫日志就會出現(xiàn)錯誤提示，在滲透測試中是很方便的，也更利于查找漏洞。

云的簡化運(yùn)維特性可以幫用戶降低這方面風(fēng)險，但如果用戶在架構(gòu)上并沒有針對性的做署，安全問題仍然很突出。相比而言，大部分大企業(yè)有的 IT 部門，配備的信息安全團(tuán)隊(duì)，每年有信息安全方面的預(yù)算，有助于他們抵御網(wǎng)絡(luò)攻擊和修復(fù)漏洞。如此一來，當(dāng)同樣受到網(wǎng)絡(luò)攻擊時，中小企業(yè)受到的影響顯然更加顯著。
SINE安全網(wǎng)站漏洞檢測時必須要人工去審計(jì)漏洞和查找漏洞找出問題所在并修復(fù)漏洞，對各項(xiàng)功能都進(jìn)行了全面的安全檢測。
http://www.66bta.com