2013年，根據全國人大十二屆常委會立法規劃，財經委牽頭國務院12個部門組成了起草組。根據立法法，我們國家的法律一般都是經過三審，但是電子商務法是四審。從提出到2018年8月31日全國人大常委會表決通過，一共用三年起草，兩年兩屆常委會四次會議審議。原因在于電子商務法和其他法律相比很復雜，涉及面廣，規模大，又是新生事物，因此制定過程中比較慎重。

什么是網站滲透測試？該如何做網站安全檢測

網站的滲透測試簡單來說就是模擬攻擊者的手法以及攻擊手段去測試網站的漏洞，對網站進行滲透攻擊測試，對網站的代碼漏洞進行挖掘，上傳腳本文件獲取網站的控制權，并對測試出來的漏洞以及整體的網站檢測出具詳細的滲透測試安全報告。

滲透測試的流程一般都是要對網站的域名以及其他相關信息，包括服務器系統，服務器IP，網站使用的主流CMS系統進行手動的獲取與安全分析，來發現網站的漏洞以及服務器的漏洞，包括有些服務器的安全配置有問題，或者是服務器安裝的軟件存在漏洞，網站代碼存在的漏洞，像SQL注入漏洞，以及XSS跨站攻擊漏洞，遠程代碼執行漏洞，csrf欺騙攻擊漏洞，而這個滲透測試的流程都要站到一個攻擊者的角度去進行安全測試，一般都會大量的安全測 試漏洞，主動進行入侵攻擊，在整個網站滲透測試中發現的網站安全問題，給網站后期發展帶來的影響進行安全評估并提供相應的網站安全解決方案，形成一個詳細，具體的安全方案給客戶，并幫助客戶網站進行漏洞修復，網站安全加固，防止被惡意攻擊。

網站滲透測試的種類又分2大類，一種 是白盒測試，一種是黑盒測試，我們來詳細的剖析一下，網站的黑盒測試就是網站滲透技術人員并未獲取任何網站的管理賬號密碼，沒有任何的網站相關機密信息，手里只知道網站的地址，模擬真實的攻擊者對網站進行全面的滲透測試，采用國內常用的滲透測試工具以及滲透測試技術對網站進行攻擊入侵，來找到網站的漏洞并對找到的漏洞進行安全風險評估以及會造成的安全損失有多少，形成一個整體的安全評估報告。黑盒測試比較耗時耗力，有的甚至需要半個月一個月的進行滲透測試才能完全的找到漏洞，對滲透測試的技術要求也較高，國內滲透測試的工程師工資普遍可以達到1W以上。

那么什么是白盒測試？

網站的白盒測試最簡單的來講就是已經獲取到了網站的相關信息，包括網站的后臺管理員賬號密碼，網站的源代碼獲取，網站的服務器系統權限，FTP賬號密碼都已獲知，在這個前提下對網站進行滲透測試，這樣可以全面的對網站漏洞進行檢測與測試，比黑盒測試找到的漏洞會更多，因為熟知了代碼是如何寫的，就會找到更多漏洞，白盒測試時間較短，滲透測試結果較好，也可以精準的對網站漏洞進行修復，并提供安全報告以及網站安全防護方案。

網站滲透測試的方法與過程

首先跟客戶溝通確認滲透測試的服務內容，整個網站滲透的內容，詳細的寫到服務合同中去，對有些網站滲透測試的條件進行補充，付款方式，以及滲透測試報告的要求，都要進行前期的溝通確定。然后接下來就是付款開工，對要進行滲透測試的網站進行信息收集，收集網站的域名是在哪里買的，域名的whios的信息，注冊賬號信息，以及網站使用的系統是開源的CMS，還是自己單獨開發，像dedecms,thinkphp,ecshop,discuz都是開源的系統，再收集網站使用的IP，是否存在同一IP下多個網站使用，網站公開的信息收集，網站管理員的對外聯系方式，網站的反饋功能，會員注冊功能，上傳功能的地址收集。服務器開放的端口，以及服務器的系統windows還是linux系統，使用的PHP版本，網站環境是IIS,還是nginx,apache等版本的收集。

然后對收集來的信息進行總結，并建立一個滲透測試流程圖，分配給滲透測試任務給不同的技術人員，從多個方面去負責滲透，每一個技術負責一個點，進行深度挖掘漏洞，并測試安全問題。

在確定網站漏洞后，再進行詳細的歸總，看是否能拿下網站的管理權限，是否可以上傳腳本木馬進行控制網站，以及能否滲透拿到服務器的管理權限。制定詳細的滲透測試計劃來達到攻擊的目的。

對漏洞進行代碼分析，包括檢測出來的漏洞是在哪里，通過這個漏洞可以獲取那些機密信息，對于代碼的邏輯漏洞也進行分析和詳細的測試。接下來就是進行滲透攻擊，對網站進行實戰的攻擊測試，通過利用工具來入侵網站，整個網站滲透測試過程總結到一個安全報告，對于滲透測試出來的漏洞進行詳細的記錄，是什么代碼導致什么的漏洞，以及修復建議都要寫到報告當中。以上就是網站滲透測試的過程跟服務的內容，如果您的網站需要做滲透測試服務，可以聯系專業的網站安全公司，國內像SINE安全，綠盟，啟明星辰都是比較有名的安全公司。

丹若科技網站建設資訊