网站设计者在设计网站时，一般将大多数精力都花在考虑满足用户应用，如何实现业务等方面，而很少考虑网站开发过程中所存在的安全漏洞，这些漏洞在不关注网站安全的用户眼里几乎不可见，在正常的网站访问过程中，这些漏洞也不会被察觉。但对于别有用心的攻击者而言，这些漏洞很可能会对网站带来致使的伤害。

网站渗透测试，也称为网站安全检测、网站安全测试、Web安全检测、网站安全评估、网站漏洞测试等。 它是一项为了防止网站被非法入侵（如篡改网页、盗取网站数据、网站挂马），在得到用户授权后对网站进行的漏洞检测。

在网站渗透测试中，我们会对目标网站进行系统漏洞检测（漏洞扫描、缓冲区溢出测试、本地权限提升）和网页代码检测（SQL注入、XSS跨站、网页挂马、上传漏洞、权限提升漏洞、数据库漏洞、源代码泄露）等多项安全测试。从而有效发现网站中的安全漏洞和隐患，确保目标网站的安全。

我们在网站渗透测试方面，具备多年的实战经验，可以有效检测并发现网站存在的OWASP Top 10的漏洞。

通常情况下，网站上经常存在以下漏洞：

1) SQL注入。检测网站是否存在SQL注入漏洞，如果存在该漏洞，攻击者对注入点进行注入攻击，可轻易获得网站的后台管理权限，甚至网站服务器的管理权限。 XSS跨站脚本。检测网站是否存在XSS跨站脚本漏洞，如果存在该漏洞，网站可能遭受Cookie欺骗、网页挂马等攻击，并可能导致用户资料泄密。

3) 网页挂马。检测网站是否被黑客或恶意攻击者非法植入了木马程序。

4) 缓冲区溢出。检测网站服务器和服务器软件，是否存在缓冲区溢出漏洞，如里存在，攻击者可通过此漏洞，获得网站或服务器的管理权限。

5) 上传漏洞。检测网站的上传功能是否存在上传漏洞，如果存在此漏洞，攻击者可直接利用该漏洞上传木马，从而在网站上获取Webshell并进而控制网站。

6) 源代码泄露。检测网络是否存在源代码泄露漏洞，如果存在此漏洞，攻击者可直接下载网站的源代码。

7) 隐藏目录泄露。检测网站的某些隐藏目录是否存在泄露漏洞，如果存在此漏洞，攻击者可了解网站的全部结构。

8) 数据库泄露。检测网站是否在数据库泄露的漏洞，如果存在此漏洞，攻击者通过暴库等方式，可以非法下载网站数据库。

9) 弱口令。检测网站的后台管理用户，以及前台用户，是否存在使用弱口令的情况。

10) 管理地址泄露。检测网站是否存在管理地址泄露功能，如果存在此漏洞，攻击者可轻易获得网站的后台管理地址。

解决方案见其他章节：