資安教學

實用資安指南,涵蓋滲透測試、網站與網路安全、加密、事件應對、威脅獵捕與線上安全。

滲透測試的類型:黑箱、白箱與灰箱

並非所有滲透測試都相同。滲透測試的類型沿兩個維度不同:測試人員事先對你的系統了解多少(black box、white box 或 grey box),以及環境的哪一部分納入範圍(Web 應用、API、網路邊界等)。把這些選對,才能讓測試既划算又真正有用,而不是走個過場。本指南解析各種選項,協助你做出明智的選擇。 重點(TL;DR) black box、white box 和 grey box 描述測試人員在開始時掌握多少資訊;對多數專案而言,grey box 最常見也最划算 依範圍劃分的測試類型包括外部網路、內部網路、Web 應用、API、無線和社會工程 合適的組合取決於你要保護什麼、你的合規需求以及你的預算 無論哪種類型,好的測試...

伺服器安全稽核清單:到底檢查什麼

伺服器安全稽核是對伺服器暴露面與組態進行系統性審查,目的是找出攻擊者可能從何處入侵,以及進入之後能做些什麼。如果你被要求委託一次稽核,或者想進行一次內部審查,本指南將準確說明一次徹底的稽核究竟檢查哪些內容,以及每個領域為何重要。 稽核是診斷性的:它告訴你目前所處的狀況。它自然而然地與強化 相配合,強化就是修復稽核所發現問題的工作。 重點摘要(TL;DR) 伺服器稽核會審查攻擊面、作業系統與服務組態、修補程式狀態、存取控制、網路與防火牆設定以及監控 通常會將伺服器與公認標準(例如 CIS Benchmark)進行基準比對 它包括惡意軟體與 rootkit 掃描,以及對記錄的審查,以便入侵行為能夠真正被偵測到 產出應當是可據以行動的、按...

為企業主講解 OWASP Top 10

OWASP Top 10 是關於網頁應用程式安全風險被引用最廣泛的清單,由備受敬重的非營利組織 Open Worldwide Application Security Project (OWASP) 發布。它面向安全專業人員,但其所描述的風險會帶來直接的營運後果:資料外洩、停機、罰款以及信任流失。本指南以淺白語言解釋每個類別,協助你就自己的應用程式提出正確的問題。 隨著攻擊手法的演變,OWASP 每隔幾年會修訂一次清單。以下類別反映的是已被廣泛確立的 2021 年修訂版,它對多數團隊而言仍是標準參考;即使排名有所變動,其背後的風險依然穩定。 重點摘要 OWASP Top 10 是網頁應用程式最嚴重安全風險的業界標準清單 最主要的類別...

2026 年 Linux 伺服器強化指南

預設的 Linux 安裝圖的是方便,而非安全。Linux 伺服器強化是減少伺服器攻擊面並收緊其設定的過程,使得來自網際網路的無可避免的探測找不到任何容易利用的目標。本指南依合理的優先順序,介紹 2026 年最重要的強化步驟。 TL;DR SSH 是你最大的暴露面:使用以金鑰為基礎的驗證,停用 root 登入與密碼,並對連線進行速率限制 執行預設拒絕的防火牆,關閉每一個你不需要的服務與連接埠 讓系統自動修補,並套用核心與帳號強化 使用 SELinux 或 AppArmor,啟用稽核日誌,並對照適用於你發行版的 CIS Benchmark 進行自我衡量 1. 鎖定 SSHSSH 是你管理伺服器的方式,也是攻擊者試圖入侵的方式。首先強化...

WordPress 安全強化檢查清單 2026

WordPress 支撐著網際網路中極大的一部分,這也使它成為持續的攻擊目標。好消息是,絕大多數 WordPress 遭入侵的案例都利用了一小組可預測的弱點,而且幾乎全部都可以預防。這份 WordPress 安全強化 檢查清單將大致依優先順序,逐步介紹在 2026 年真正見效的措施。 重點速覽 有漏洞且過時的外掛與佈景主題是 WordPress 最大的攻擊途徑;有紀律的更新與移除未使用的程式碼比任何事都重要 強身分驗證(唯一的管理員使用者名稱、強密碼、雙因素驗證、登入速率限制)能堵住第二常見的入口 強化 wp-config.php、檔案權限以及 REST API / XML-RPC 攻擊面,並在網站前端部署 WAF 定期備份並測試還...

2026年英國開發者GDPR技術合規指南

ICO對英國組織的執法行動在2024年和2025年急劇增加,兩年間因技術安全措施不足而徵收的罰款總額超過1,200萬英鎊。ICO執法通知中呈現出一貫的規律:遭受資料洩露且無法證明已實施適當技術控制措施的組織面臨最嚴厲的處理結果。對開發者而言,這是一個直接的職業關切。您在加密、日誌記錄、存取控制和資料留存方面做出的決策,就是決定一個組織能否在ICO面前為自己辯護的技術控制措施。 本指南專為開發者和工程團隊編寫,而非法律或合規部門。它將UK GDPR的要求轉化為具體的技術決策:實施什麼、如何實施,以及每項措施存在的原因。 摘要 UK GDPR第32條要求與風險相稱的「適當技術措施」。對於大多數處理個人資料的應用程式,這意味著靜態和傳輸中...

英國滲透測試 - 2026年應期待什麼

英國滲透測試服務的搜尋量在2023年至2025年間成長了35%以上,這源於勒索軟體事件的增多、日趨嚴格的法規義務,以及一批保險公司在簽發網路保險單前要求提供主動安全測試證據。儘管需求旺盛,人們對滲透測試究竟是什麼、它與漏洞掃描有何不同,以及一次優質測試的費用是多少,仍然普遍感到困惑。 本指南全面介紹以下內容:滲透測試是什麼以及不是什麼、主要類型、流程如何運作、輸出應包含哪些內容、英國哪些資質認證至關重要,以及2026年的實際費用範圍。 要點速覽 滲透測試是由授權測試人員模擬的攻擊,使用與真實攻擊者相同的技術。它與漏洞掃描不同,漏洞掃描是自動化的,無法將漏洞串聯起來或評估真實影響。 測試人員將多個漏洞串聯起來以證明實際影響,而不僅僅列...

2026年英國企業網站安全審計指南

網站安全審計是一種結構化評估,在攻擊者發現並利用漏洞之前識別您網路存在中的安全隱患。對於2026年的英國企業而言,這不是一個假想中的問題。DSIT/NCSC網路安全漏洞調查報告顯示,超過50%的英國中型企業在過去一年中經歷了網路攻擊或資料外洩。 本指南說明了網站安全審計的涵蓋範圍、流程如何運作、費用是多少,以及如何處理審計結果。 重點摘要 網站安全審計結合自動掃描和手動測試;僅靠工具會遺漏業務邏輯缺陷、鏈式攻擊和許多配置漏洞 UK GDPR第32條、Cyber Essentials和PCI DSS均為英國企業進行定期審計提供了法律依據 專業審計對大多數英國網站收費£2,000至£15,000;明顯偏低的報價通常意味著僅有自動掃描,手...

密碼管理器:解鎖在線安全 | 綜合指南

您是否厭倦了為各種在線帳戶記住無數密碼? 隨著越來越多的網絡攻擊和數據洩露,優先考慮在線安全比以往任何時候都更加重要。 密碼管理器可以成為增強密碼安全性和簡化數字生活的關鍵。 在本文中,我們將探討什麼是密碼管理器、為什麼要使用它們、如何有效地使用它們,以及一些流行的示例來幫助您根據需要選擇合適的密碼管理器。 什麼是密碼管理器?密碼管理器是安全的應用程序,旨在存儲、生成和管理各種在線帳戶的密碼。 這些工具會加密您的密碼數據庫,並要求您創建並記住一個強主密碼。 通過使用密碼管理器,您可以避免重複使用或記下密碼,從而顯著降低未經授權訪問您的帳戶的風險。 為什麼人們應該使用密碼管理器?在當今的數字時代,我們在生活的各個方面都嚴重依賴在線服...

TryHackMe 房間: Borderlands

今天我將幫助你完成另一個房間:Borderlands ,它是 Networking 類別的一部分。 這是一個困難的房間(網絡中最難的),如果你完成所有任務,你將獲得 540 分! 通常您需要自己執行任務(我建議您這樣做),即使您熟練,也需要長達 1 小時才能完成所有任務。 您無法找到所有可以在線複製粘貼的答案,因為沒有人發布它們,因為這需要相當多的努力。 別擔心,Mecanik 來了! 😉 任務 1:通過該網絡進行部署、攻擊和樞轉符合以下模式的 API 密鑰是什麼:“AND*” ANDVOWLDLAS5Q8OQZ2tuIPGcOu2mXk 符合以下模式的 API 密鑰是什麼:“WEB*”...