应用安全

关于应用安全的文章、指南和教程,为开发者和企业提供实用知识与技巧。

渗透测试的类型:黑盒、白盒与灰盒

并非所有渗透测试都相同。渗透测试的类型沿两个维度不同:测试人员事先对你的系统了解多少(black box、white box 或 grey box),以及环境的哪一部分纳入范围(Web 应用、API、网络边界等)。把这些选对,才能让测试既划算又真正有用,而不是走个过场。本指南解析各种选项,帮助你做出明智的选择。 要点(TL;DR) black box、white box 和 grey box 描述测试人员在开始时掌握多少信息;对多数项目而言,grey box 最常见也最划算 按范围划分的测试类型包括外部网络、内部网络、Web 应用、API、无线和社会工程 合适的组合取决于你要保护什么、你的合规需求以及你的预算 无论哪种类型,好的测试...

为企业主讲解 OWASP Top 10

OWASP Top 10 是关于网络应用安全风险被引用最广泛的清单,由备受尊重的非营利组织 Open Worldwide Application Security Project (OWASP) 发布。它面向安全专业人员,但其所描述的风险会带来直接的业务后果:数据泄露、停机、罚款以及信任流失。本指南用通俗的语言解释每个类别,帮助你就自己的应用提出正确的问题。 随着攻击方式的演变,OWASP 每隔几年会修订一次清单。以下类别反映的是已被广泛确立的 2021 年修订版,它对大多数团队而言仍是标准参考;即使排名有所变化,其背后的风险依然稳定。 要点速览 OWASP Top 10 是网络应用最严重安全风险的行业标准清单 最主要的类别涉及访问...

2026年英国开发者GDPR技术合规指南

ICO对英国组织的执法行动在2024年和2025年急剧增加,两年间因技术安全措施不足而征收的罚款总额超过1200万英镑。ICO执法通知中呈现出一贯的规律:遭受数据泄露且无法证明已实施适当技术控制措施的组织面临最严厉的处理结果。对开发者而言,这是一个直接的职业关切。您在加密、日志记录、访问控制和数据留存方面做出的决策,就是决定一个组织能否在ICO面前为自己辩护的技术控制措施。 本指南专为开发者和工程团队编写,而非法律或合规部门。它将UK GDPR的要求转化为具体的技术决策:实施什么、如何实施,以及每项措施存在的原因。 摘要 UK GDPR第32条要求与风险相称的"适当技术措施"。对于大多数处理个人数据的应用程序,这意味着静态和传输中的...

英国渗透测试 - 2026年应期待什么

英国渗透测试服务的搜索量在2023年至2025年间增长了35%以上,这源于勒索软件事件的增多、日趋严格的监管义务,以及一批保险公司在签发网络保险单前要求提供主动安全测试证据。尽管需求旺盛,人们对渗透测试究竟是什么、它与漏洞扫描有何不同,以及一次优质测试的费用是多少,仍然普遍感到困惑。 本指南全面介绍以下内容:渗透测试是什么以及不是什么、主要类型、流程如何运作、输出应包含哪些内容、英国哪些资质认证至关重要,以及2026年的实际费用范围。 要点速览 渗透测试是由授权测试人员模拟的攻击,使用与真实攻击者相同的技术。它与漏洞扫描不同,漏洞扫描是自动化的,无法将漏洞串联起来或评估真实影响。 测试人员将多个漏洞串联起来以证明实际影响,而不仅仅列...

2026年英国企业网站安全审计指南

网站安全审计是一种结构化评估,在攻击者发现并利用漏洞之前识别您网络存在中的安全隐患。对于2026年的英国企业来说,这不是一个假想中的问题。DSIT/NCSC网络安全漏洞调查报告显示,超过50%的英国中型企业在过去一年中经历了网络攻击或数据泄露。 本指南解释了网站安全审计的涵盖范围、流程如何运作、费用是多少,以及如何处理审计结果。 要点摘要 网站安全审计结合自动扫描和手动测试;仅靠工具会遗漏业务逻辑缺陷、链式攻击和许多配置漏洞 UK GDPR第32条、Cyber Essentials和PCI DSS均为英国企业进行定期审计提供了法律依据 专业审计对大多数英国网站收费£2,000至£15,000;明显偏低的报价通常意味着仅有自动扫描,手...