跳到正文
>_ITDITDWeb 安全平台
网络安全的从容备战,指挥中心般的镇定

从真实事故中学习,守护你自己的网站。

不讲如何攻击,只讲如何防御,全部源自真实发生过的入侵事件。即便没有安全背景,也能从今天就开始实践这些防御措施。

浏览安全事故开始防御
itd@defense:~ — site-health.shLIVE
$  
  • >.env exposure[ 已防御 ]
  • >TLS / cert expiry[ 需关注 ]
  • >Dependency CVEs[ 严重 ]
  • >Security headers[ 已防御 ]
  • >Secret in repo[ 已防御 ]
ONLINE威胁动态LIVE7 安全事故与漏洞26 术语表29 安全指南DEFENSE-ONLY — NO ATTACK STEPS
精选

面向 AI 时代的安全

强大的 AI 让疏于防范的代价越来越高。现在就按优先级,把基础防御做扎实。

阅读精选内容
01 — Sections

从哪里开始

按目标选择入口。全部免费,无需注册。

安全事故与漏洞

Capital One、Equifax、Log4Shell、Heartbleed、XZ——把公开披露的入侵与漏洞拆解为成因、影响、初步应对与防范,提炼出至今仍然适用的经验。

$ Log4Shell、Heartbleed、Capital One、MOVEit 等等。

术语表

CVE、CVSS、RCE、SSRF、XSS、SPF/DKIM/DMARC——每个术语都配有一句话答案和通俗解释。

$ 让术语不再绊住你。

安全指南

密码、MFA、设备、公共 Wi-Fi、服务器、依赖、Git、暴露在外的环境——围绕目标展开的实操指南,让你今天就能动手加固。

$ 按目标划分的实操防御指南。

免费工具

一套免费工具,用于检查依赖(OSV)、CVE、安全响应头、CSP、JWT 以及 SPF/DKIM/DMARC。诊断类工具还会生成 AI 修复提示词。客户端工具绝不会上传你的输入。

$ 客户端工具绝不会上传你的输入。

02 — Field notes

重大安全事故与漏洞

Capital One、Log4Shell、MOVEit 等等——把公开披露的入侵与漏洞,转化为你可用的防御方法。

critical2026-06-12

MOVEit 大规模数据泄露(2023)—— SQL 注入零日漏洞波及 2,700 多家组织的原因与防御

入口是面向互联网公开的文件传输产品 MOVEit Transfer 的 SQL 注入零日漏洞(CVE-2023-34362)。攻击者植入 Web shell(LEMURLOOT),从后端数据库批量窃取数据,致 2,700 多家组织、约 9,330 万人的数据外泄。许多受害者是因为外包方、合作方使用了 MOVEit 而被间接牵连。在你的环境中,可通过 KEV 即时打补丁、最小化暴露面、Web↔DB 的最小权限与隔离、外包方盘点与数据最小化来防范。

critical2026-06-07

Capital One 数据泄露事件(2019)— SSRF 如何导致 1 亿人信息外泄及防御之道

入口只是一个 SSRF。攻击由此连锁:元数据服务端点 → 权限过大的 IAM 临时密钥 → S3 整体复制,最终约 1 亿 600 万人信息外泄。每一跳本可被拦下。在你的环境中,用 IMDSv2、IAM 最小权限和出站目标白名单来杜绝重演。

critical2026-06-07

Codecov 篡改事件(2021)——CI 中『被信任的工具』被劫持导致机密信息外泄的原因与防御

根源在于『在 CI 中信任并执行的工具(curl|bash 的 Bash Uploader)在上游被篡改』。由于自己的代码毫发无损,约两个月都没能察觉,CI 的机密信息因此外泄。检测靠的是校验和比对。在你的 CI 中,可用取得物的完整性校验、机密的最小权限、轮换、egress 监控来防止重演。

03 — Our stance

本站的立场

一个安全产品,首先得管好自己的一亩三分地。

We don't hold secrets

We never store your real API keys — only metadata. The safest secret is the one we can't leak.

Scan only what you own

Diagnostics run on verified domains only. Internal IPs and metadata endpoints are blocked — SSRF defense is built in.

Minimal blast radius

Isolation so one breach can't cascade. This site itself runs on a dedicated, isolated host.

We test on ourselves

This site watches its own dependencies for CVEs. The incident that started this never gets missed by a human again.