Web安全

关于Web安全的文章、指南和教程,为开发者和企业提供实用知识与技巧。

渗透测试的类型:黑盒、白盒与灰盒

并非所有渗透测试都相同。渗透测试的类型沿两个维度不同:测试人员事先对你的系统了解多少(black box、white box 或 grey box),以及环境的哪一部分纳入范围(Web 应用、API、网络边界等)。把这些选对,才能让测试既划算又真正有用,而不是走个过场。本指南解析各种选项,帮助你做出明智的选择。 要点(TL;DR) black box、white box 和 grey box 描述测试人员在开始时掌握多少信息;对多数项目而言,grey box 最常见也最划算 按范围划分的测试类型包括外部网络、内部网络、Web 应用、API、无线和社会工程 合适的组合取决于你要保护什么、你的合规需求以及你的预算 无论哪种类型,好的测试...

服务器安全审计清单:到底检查什么

服务器安全审计是对服务器暴露面和配置的系统性审查,目的是找出攻击者可能从何处入侵,以及进入之后能做些什么。如果你被要求委托一次审计,或者想开展一次内部审查,本指南将准确说明一次彻底的审计究竟检查哪些内容,以及每个领域为何重要。 审计是诊断性的:它告诉你目前所处的状况。它自然而然地与加固 相配合,加固就是修复审计所发现问题的工作。 要点速览(TL;DR) 服务器审计会审查攻击面、操作系统与服务配置、补丁状态、访问控制、网络与防火墙设置以及监控 通常会将服务器与公认标准(例如 CIS Benchmark)进行基准比对 它包括恶意软件与 rootkit 扫描,以及对日志记录的审查,以便入侵行为能够真正被检测到 输出应当是可据以行动的、按优...

为企业主讲解 OWASP Top 10

OWASP Top 10 是关于网络应用安全风险被引用最广泛的清单,由备受尊重的非营利组织 Open Worldwide Application Security Project (OWASP) 发布。它面向安全专业人员,但其所描述的风险会带来直接的业务后果:数据泄露、停机、罚款以及信任流失。本指南用通俗的语言解释每个类别,帮助你就自己的应用提出正确的问题。 随着攻击方式的演变,OWASP 每隔几年会修订一次清单。以下类别反映的是已被广泛确立的 2021 年修订版,它对大多数团队而言仍是标准参考;即使排名有所变化,其背后的风险依然稳定。 要点速览 OWASP Top 10 是网络应用最严重安全风险的行业标准清单 最主要的类别涉及访问...

2026 年 Linux 服务器加固指南

默认的 Linux 安装图的是方便,而非安全。Linux 服务器加固是减少服务器攻击面并收紧其配置的过程,使得来自互联网的不可避免的探测找不到任何易于利用的目标。本指南按合理的优先级顺序,介绍 2026 年最重要的加固步骤。 TL;DR SSH 是你最大的暴露面:使用基于密钥的认证,禁用 root 登录和密码,并对连接进行速率限制 运行默认拒绝的防火墙,关闭每一个你不需要的服务和端口 保持系统自动打补丁,并应用内核和账户加固 使用 SELinux 或 AppArmor,启用审计日志,并对照适用于你发行版的 CIS Benchmark 进行自我衡量 1. 锁定 SSHSSH 是你管理服务器的方式,也是攻击者试图入侵的方式。首先加固它。...

WordPress 安全加固清单 2026

WordPress 支撑着互联网中极大的一部分,这也使它成为持续的攻击目标。好消息是,绝大多数 WordPress 被入侵的案例都利用了一小组可预测的弱点,而且几乎全部都可以预防。这份 WordPress 安全加固 清单将大致按优先级顺序,逐步介绍在 2026 年真正见效的措施。 要点速览 有漏洞且过时的插件与主题是 WordPress 最大的攻击途径;有纪律的更新和移除未使用的代码比任何事情都重要 强身份验证(唯一的管理员用户名、强密码、双因素认证、登录速率限制)能堵住第二常见的入口 加固 wp-config.php、文件权限以及 REST API / XML-RPC 攻击面,并在站点前端部署 WAF 定期备份并测试恢复;好的备份...

2026年网络开发最佳实践

网络开发最佳实践是仅仅能运行的网站与性能出色、排名靠前、经久耐用的网站之间的差距所在。2026年,标准比以往任何时候都要高:用户期望即时加载速度,搜索引擎奖励速度和可访问性,而安全威胁则持续不断。好消息是,能产出优质网站的实践方法已经广为人知。本指南涵盖了当今真正重要的网络开发最佳实践,涉及性能、可访问性、安全性、SEO、代码质量和测试等领域,提供可以实际应用的实用指导,而非抽象原则。 概要 性能不容妥协:针对 Core Web Vitals 进行优化,因为速度同时影响排名和转化率 可访问性是基本要求,而非可选附加项,良好的可访问性能提升所有人的使用体验 从一开始就构建安全性,而不是在上线后补充 编写其他开发者(以及搜索引擎)能够理...

2026年英国开发者GDPR技术合规指南

ICO对英国组织的执法行动在2024年和2025年急剧增加,两年间因技术安全措施不足而征收的罚款总额超过1200万英镑。ICO执法通知中呈现出一贯的规律:遭受数据泄露且无法证明已实施适当技术控制措施的组织面临最严厉的处理结果。对开发者而言,这是一个直接的职业关切。您在加密、日志记录、访问控制和数据留存方面做出的决策,就是决定一个组织能否在ICO面前为自己辩护的技术控制措施。 本指南专为开发者和工程团队编写,而非法律或合规部门。它将UK GDPR的要求转化为具体的技术决策:实施什么、如何实施,以及每项措施存在的原因。 摘要 UK GDPR第32条要求与风险相称的"适当技术措施"。对于大多数处理个人数据的应用程序,这意味着静态和传输中的...

英国渗透测试 - 2026年应期待什么

英国渗透测试服务的搜索量在2023年至2025年间增长了35%以上,这源于勒索软件事件的增多、日趋严格的监管义务,以及一批保险公司在签发网络保险单前要求提供主动安全测试证据。尽管需求旺盛,人们对渗透测试究竟是什么、它与漏洞扫描有何不同,以及一次优质测试的费用是多少,仍然普遍感到困惑。 本指南全面介绍以下内容:渗透测试是什么以及不是什么、主要类型、流程如何运作、输出应包含哪些内容、英国哪些资质认证至关重要,以及2026年的实际费用范围。 要点速览 渗透测试是由授权测试人员模拟的攻击,使用与真实攻击者相同的技术。它与漏洞扫描不同,漏洞扫描是自动化的,无法将漏洞串联起来或评估真实影响。 测试人员将多个漏洞串联起来以证明实际影响,而不仅仅列...

2026年英国企业网站安全审计指南

网站安全审计是一种结构化评估,在攻击者发现并利用漏洞之前识别您网络存在中的安全隐患。对于2026年的英国企业来说,这不是一个假想中的问题。DSIT/NCSC网络安全漏洞调查报告显示,超过50%的英国中型企业在过去一年中经历了网络攻击或数据泄露。 本指南解释了网站安全审计的涵盖范围、流程如何运作、费用是多少,以及如何处理审计结果。 要点摘要 网站安全审计结合自动扫描和手动测试;仅靠工具会遗漏业务逻辑缺陷、链式攻击和许多配置漏洞 UK GDPR第32条、Cyber Essentials和PCI DSS均为英国企业进行定期审计提供了法律依据 专业审计对大多数英国网站收费£2,000至£15,000;明显偏低的报价通常意味着仅有自动扫描,手...