Web安全

關於Web安全的文章、指南和教程,為開發者和企業提供實用知識與技巧。

滲透測試的類型:黑箱、白箱與灰箱

並非所有滲透測試都相同。滲透測試的類型沿兩個維度不同:測試人員事先對你的系統了解多少(black box、white box 或 grey box),以及環境的哪一部分納入範圍(Web 應用、API、網路邊界等)。把這些選對,才能讓測試既划算又真正有用,而不是走個過場。本指南解析各種選項,協助你做出明智的選擇。 重點(TL;DR) black box、white box 和 grey box 描述測試人員在開始時掌握多少資訊;對多數專案而言,grey box 最常見也最划算 依範圍劃分的測試類型包括外部網路、內部網路、Web 應用、API、無線和社會工程 合適的組合取決於你要保護什麼、你的合規需求以及你的預算 無論哪種類型,好的測試...

伺服器安全稽核清單:到底檢查什麼

伺服器安全稽核是對伺服器暴露面與組態進行系統性審查,目的是找出攻擊者可能從何處入侵,以及進入之後能做些什麼。如果你被要求委託一次稽核,或者想進行一次內部審查,本指南將準確說明一次徹底的稽核究竟檢查哪些內容,以及每個領域為何重要。 稽核是診斷性的:它告訴你目前所處的狀況。它自然而然地與強化 相配合,強化就是修復稽核所發現問題的工作。 重點摘要(TL;DR) 伺服器稽核會審查攻擊面、作業系統與服務組態、修補程式狀態、存取控制、網路與防火牆設定以及監控 通常會將伺服器與公認標準(例如 CIS Benchmark)進行基準比對 它包括惡意軟體與 rootkit 掃描,以及對記錄的審查,以便入侵行為能夠真正被偵測到 產出應當是可據以行動的、按...

為企業主講解 OWASP Top 10

OWASP Top 10 是關於網頁應用程式安全風險被引用最廣泛的清單,由備受敬重的非營利組織 Open Worldwide Application Security Project (OWASP) 發布。它面向安全專業人員,但其所描述的風險會帶來直接的營運後果:資料外洩、停機、罰款以及信任流失。本指南以淺白語言解釋每個類別,協助你就自己的應用程式提出正確的問題。 隨著攻擊手法的演變,OWASP 每隔幾年會修訂一次清單。以下類別反映的是已被廣泛確立的 2021 年修訂版,它對多數團隊而言仍是標準參考;即使排名有所變動,其背後的風險依然穩定。 重點摘要 OWASP Top 10 是網頁應用程式最嚴重安全風險的業界標準清單 最主要的類別...

2026 年 Linux 伺服器強化指南

預設的 Linux 安裝圖的是方便,而非安全。Linux 伺服器強化是減少伺服器攻擊面並收緊其設定的過程,使得來自網際網路的無可避免的探測找不到任何容易利用的目標。本指南依合理的優先順序,介紹 2026 年最重要的強化步驟。 TL;DR SSH 是你最大的暴露面:使用以金鑰為基礎的驗證,停用 root 登入與密碼,並對連線進行速率限制 執行預設拒絕的防火牆,關閉每一個你不需要的服務與連接埠 讓系統自動修補,並套用核心與帳號強化 使用 SELinux 或 AppArmor,啟用稽核日誌,並對照適用於你發行版的 CIS Benchmark 進行自我衡量 1. 鎖定 SSHSSH 是你管理伺服器的方式,也是攻擊者試圖入侵的方式。首先強化...

WordPress 安全強化檢查清單 2026

WordPress 支撐著網際網路中極大的一部分,這也使它成為持續的攻擊目標。好消息是,絕大多數 WordPress 遭入侵的案例都利用了一小組可預測的弱點,而且幾乎全部都可以預防。這份 WordPress 安全強化 檢查清單將大致依優先順序,逐步介紹在 2026 年真正見效的措施。 重點速覽 有漏洞且過時的外掛與佈景主題是 WordPress 最大的攻擊途徑;有紀律的更新與移除未使用的程式碼比任何事都重要 強身分驗證(唯一的管理員使用者名稱、強密碼、雙因素驗證、登入速率限制)能堵住第二常見的入口 強化 wp-config.php、檔案權限以及 REST API / XML-RPC 攻擊面,並在網站前端部署 WAF 定期備份並測試還...

2026年網路開發最佳實踐

網路開發最佳實踐是僅僅能運作的網站,與效能出色、排名靠前、經久耐用的網站之間的差距所在。2026年,標準比以往任何時候都要高:使用者期望即時載入速度,搜尋引擎獎勵速度和無障礙性,而安全威脅則持續不斷。好消息是,能產出優質網站的實踐方法已經廣為人知。本指南涵蓋了當今真正重要的網路開發最佳實踐,涉及效能、無障礙性、安全性、SEO、程式碼品質和測試等領域,提供可以實際應用的實用指引,而非抽象原則。 摘要 效能不容妥協:針對 Core Web Vitals 進行最佳化,因為速度同時影響排名和轉換率 無障礙性是基本要求,而非可選附加項,良好的無障礙性能提升所有人的使用體驗 從一開始就建構安全性,而不是在上線後補充 撰寫其他開發者(以及搜尋引...

2026年英國開發者GDPR技術合規指南

ICO對英國組織的執法行動在2024年和2025年急劇增加,兩年間因技術安全措施不足而徵收的罰款總額超過1,200萬英鎊。ICO執法通知中呈現出一貫的規律:遭受資料洩露且無法證明已實施適當技術控制措施的組織面臨最嚴厲的處理結果。對開發者而言,這是一個直接的職業關切。您在加密、日誌記錄、存取控制和資料留存方面做出的決策,就是決定一個組織能否在ICO面前為自己辯護的技術控制措施。 本指南專為開發者和工程團隊編寫,而非法律或合規部門。它將UK GDPR的要求轉化為具體的技術決策:實施什麼、如何實施,以及每項措施存在的原因。 摘要 UK GDPR第32條要求與風險相稱的「適當技術措施」。對於大多數處理個人資料的應用程式,這意味著靜態和傳輸中...

英國滲透測試 - 2026年應期待什麼

英國滲透測試服務的搜尋量在2023年至2025年間成長了35%以上,這源於勒索軟體事件的增多、日趨嚴格的法規義務,以及一批保險公司在簽發網路保險單前要求提供主動安全測試證據。儘管需求旺盛,人們對滲透測試究竟是什麼、它與漏洞掃描有何不同,以及一次優質測試的費用是多少,仍然普遍感到困惑。 本指南全面介紹以下內容:滲透測試是什麼以及不是什麼、主要類型、流程如何運作、輸出應包含哪些內容、英國哪些資質認證至關重要,以及2026年的實際費用範圍。 要點速覽 滲透測試是由授權測試人員模擬的攻擊,使用與真實攻擊者相同的技術。它與漏洞掃描不同,漏洞掃描是自動化的,無法將漏洞串聯起來或評估真實影響。 測試人員將多個漏洞串聯起來以證明實際影響,而不僅僅列...

2026年英國企業網站安全審計指南

網站安全審計是一種結構化評估,在攻擊者發現並利用漏洞之前識別您網路存在中的安全隱患。對於2026年的英國企業而言,這不是一個假想中的問題。DSIT/NCSC網路安全漏洞調查報告顯示,超過50%的英國中型企業在過去一年中經歷了網路攻擊或資料外洩。 本指南說明了網站安全審計的涵蓋範圍、流程如何運作、費用是多少,以及如何處理審計結果。 重點摘要 網站安全審計結合自動掃描和手動測試;僅靠工具會遺漏業務邏輯缺陷、鏈式攻擊和許多配置漏洞 UK GDPR第32條、Cyber Essentials和PCI DSS均為英國企業進行定期審計提供了法律依據 專業審計對大多數英國網站收費£2,000至£15,000;明顯偏低的報價通常意味著僅有自動掃描,手...