入侵后，未被及時(shí)發(fā)現(xiàn)有些通過(guò)篡改網(wǎng)頁(yè)來(lái)傳播一些非法信息或炫耀自己的水平，但篡改網(wǎng)頁(yè)之前，肯定基于對(duì)漏洞的利用，獲得了網(wǎng)站控制權(quán)限。這不是可怕的，因?yàn)樵讷@取權(quán)限后沒(méi)有想要隱蔽自己，反而是通過(guò)篡改網(wǎng)頁(yè)暴露自己，這雖然對(duì)網(wǎng)站造成很多影響，但本身未獲得直接利益。更可怕的是，在獲取網(wǎng)站的控制權(quán)限之后，并不暴露自己，而是利用所控制網(wǎng)站產(chǎn)生直接利益;網(wǎng)頁(yè)掛馬就是一種利用網(wǎng)站，將瀏覽網(wǎng)站的人種植其木馬的一種非常隱蔽且直接獲取利益的主要方式。訪問(wèn)網(wǎng)站而被種植木馬的人通常也不知情，導(dǎo)致一些用戶的機(jī)密信被取。網(wǎng)站成了散布木馬的一個(gè)渠道。網(wǎng)站本身雖然能夠提供正常服務(wù)，但訪問(wèn)網(wǎng)站的人卻遭受著木馬程序的危害。這種方式下，們通常不會(huì)暴露自己，反而會(huì)盡量隱蔽，正好比暗難防，所以很多網(wǎng)站被掛木馬數(shù)月仍然未被察覺(jué)。由于掛馬原理是木馬本身并非在網(wǎng)站本地，而是通過(guò)網(wǎng)頁(yè)中加載一個(gè)能夠讓瀏覽者自動(dòng)建立另外的連接完成木馬，而這一切動(dòng)作是可以很隱蔽的完成，各個(gè)用戶不可見(jiàn)，因此這種情況下網(wǎng)站本地的軟件也無(wú)法發(fā)現(xiàn)這個(gè)掛馬實(shí)體。
保護(hù)數(shù)據(jù)-SAAS業(yè)務(wù)
在不是非常嚴(yán)格的數(shù)據(jù)保護(hù)規(guī)范下，任何不經(jīng)意間的個(gè)人數(shù)據(jù)處理都可以讓你的公司在很短的時(shí)間內(nèi)被起訴。
因此，企業(yè)需要了解通過(guò)發(fā)生的個(gè)人數(shù)據(jù)，收集，處理和存儲(chǔ)過(guò)程的重要性，應(yīng)仔細(xì)通過(guò)處理驗(yàn)證細(xì)節(jié)，根據(jù)國(guó)家和其他此類個(gè)人標(biāo)準(zhǔn)對(duì)其執(zhí)行分類的整體數(shù)據(jù)收集程序，以便為訪問(wèn)者建立積極的體驗(yàn)。
SAAS業(yè)務(wù)需要了解其受眾范圍并建立Web安全性，以整個(gè)數(shù)據(jù)收集過(guò)程，同時(shí)也需要保護(hù)其個(gè)人數(shù)據(jù)數(shù)據(jù)庫(kù)訪問(wèn)權(quán)限可控并且不受匿名網(wǎng)絡(luò)參與者的影響，例如任何惡意SQL注入、跨站點(diǎn)腳本、克隆、網(wǎng)絡(luò)、MITM和Boy-in-the-Browser攻擊。
加強(qiáng)你的基礎(chǔ)設(shè)施建設(shè)
企業(yè)應(yīng)了解其托管范圍，并保護(hù)其網(wǎng)絡(luò)中易受攻擊的接觸點(diǎn)。
所有SAAS服務(wù)提供商都可能遭受DDOS和魚(yú)叉式網(wǎng)絡(luò)攻擊，必要時(shí)應(yīng)該聘請(qǐng)的團(tuán)隊(duì)來(lái)避免這些攻擊以維持其在市場(chǎng)上的和安全性。
企業(yè)也可以有一個(gè)清單，以確保他們具備所有可能的安全性。

這個(gè)邏輯很簡(jiǎn)單，正常的商品下單后，都是提交訂單并且支付訂單后才會(huì)扣除商品庫(kù)存量，這種情況下，其他用戶還可以繼續(xù)提交訂單購(gòu)買(mǎi)本商品；我發(fā)現(xiàn)的這個(gè)漏洞是在提交訂單后支付訂單前，就扣除商品庫(kù)存量，只要你提交訂單，庫(kù)存量就減少，會(huì)導(dǎo)致其他用戶無(wú)法提交訂單支付購(gòu)買(mǎi)你已經(jīng)提交的訂單的商品。您說(shuō)的那種“在支付過(guò)程中，其他人看到有庫(kù)存，下單的話，會(huì)與這個(gè)訂單沖突”的情況并不存在，麻煩您下次評(píng)論標(biāo)點(diǎn)符號(hào)加清楚。意思就是假設(shè)總共101件商品，你下101個(gè)訂單，會(huì)顯示無(wú)庫(kù)存，其他人會(huì)直接下不了訂單；如果你下50個(gè)訂單，其他人要繼續(xù)購(gòu)買(mǎi)本商品的話，提交的訂單是剩下的51個(gè)訂單里的，雙方的支付不會(huì)有任何沖突，所以我認(rèn)為這是一個(gè)邏輯漏洞，并且是通過(guò)審核的。我感覺(jué)自己已經(jīng)講得很清楚了，當(dāng)然，我只是簡(jiǎn)單分享一下我的挖洞思路，一千個(gè)讀者有一千個(gè)哈姆雷特，感謝您提出問(wèn)題，我會(huì)在以后的文章里，把自己的觀點(diǎn)表述清楚。

還發(fā)現(xiàn)一個(gè)問(wèn)題就是從百度搜索點(diǎn)擊進(jìn)去，網(wǎng)站會(huì)直接跳轉(zhuǎn)到du博網(wǎng)站上去。360提醒說(shuō)是未經(jīng)證實(shí)的du博網(wǎng)站，您訪問(wèn)的網(wǎng)站含有未經(jīng)證實(shí)的du博相關(guān)內(nèi)容，可能給您造成財(cái)產(chǎn)損失，請(qǐng)您謹(jǐn)慎訪問(wèn)。點(diǎn)忽略廣告，繼續(xù)，就會(huì)跳轉(zhuǎn)到du博網(wǎng)站上去了。我們對(duì)客戶的網(wǎng)站程序代碼進(jìn)行人工的安全檢測(cè)，包括網(wǎng)站的漏洞檢測(cè)，網(wǎng)站木馬后門(mén)檢測(cè)，首頁(yè)加密代碼的安全檢測(cè)，發(fā)現(xiàn)網(wǎng)站存在任意文檔上傳漏洞，在后臺(tái)管理目錄下有個(gè)tupianfile可以繞過(guò)管理員登錄，普通訪問(wèn)用戶就可以直接上傳數(shù)據(jù)過(guò)去，并上傳任意文檔到網(wǎng)站目錄下，導(dǎo)致網(wǎng)站被hack上傳了webshell.

由于具有面向互聯(lián)網(wǎng)提供信息服務(wù)的特點(diǎn)，帶有各種動(dòng)機(jī)的攻擊者可能會(huì)利用開(kāi)放的服務(wù)端口和一定的訪問(wèn)權(quán)限進(jìn)一步探測(cè)其安全漏洞，以獲取未授權(quán)的信息訪問(wèn)。政機(jī)關(guān)門(mén)戶更由于其代表的屬性，備受公眾和攻擊者的關(guān)注。針對(duì)政機(jī)關(guān)門(mén)戶的安全威脅，從威脅來(lái)源、威脅動(dòng)機(jī)和威脅方式分析，具有以下特點(diǎn)。
SINESAFE為了幫助網(wǎng)站維持長(zhǎng)的正常運(yùn)行時(shí)間，可以采用冗余性（備份和服務(wù)器的失效轉(zhuǎn)移）來(lái)保護(hù)網(wǎng)站。備份可以幫助避免客戶端數(shù)據(jù)的丟失，而備份服務(wù)器可以避免服務(wù)器遭到徹底毀滅時(shí)不用從頭開(kāi)始構(gòu)建新的服務(wù)器。
http://www.agrivod.com