跳至主要內容
>_ITDITD網站資安平台
資安整備,指揮中心般的從容

從真實事件學習,守護你自己的網站。

不是教你如何攻擊,而是教你如何防禦——取材自真實發生過的入侵事件。即使沒有資安背景,也有今天就能著手的實用防禦做法。

瀏覽資安事件開始防禦
itd@defense:~ — site-health.shLIVE
$  
  • >.env exposure[ 已防護 ]
  • >TLS / cert expiry[ 留意 ]
  • >Dependency CVEs[ 危急 ]
  • >Security headers[ 已防護 ]
  • >Secret in repo[ 已防護 ]
ONLINE威脅情報LIVE7 資安事件與漏洞26 名詞解釋29 資安指南DEFENSE-ONLY — NO ATTACK STEPS
精選專題

AI 時代的資安

AI 能力愈強,疏忽的代價就愈高。現在就依優先順序,把基本功一一鎖緊。

閱讀專題
01 — Sections

從哪裡開始

依目標挑選入口。全部免費,免註冊。

資安事件與漏洞

Capital One、Equifax、Log4Shell、Heartbleed、XZ——將公開的入侵事件與漏洞拆解為成因、影響、初步應變與防範,萃取至今仍適用的教訓。

$ Log4Shell、Heartbleed、Capital One、MOVEit 等。

名詞解釋

CVE、CVSS、RCE、SSRF、XSS、SPF/DKIM/DMARC——每個名詞都附一句話結論與淺顯的說明。

$ 讓專業術語再也難不倒你。

資安指南

密碼、MFA、裝置、公共 Wi-Fi、伺服器、相依套件、Git、暴露在外的環境——以目標為導向的實用指南,教你今天就能套用的防禦措施。

$ 依目標分類的實用防禦指南。

免費工具

一套免費工具,可檢測相依套件(OSV)、CVE、資安標頭、CSP、JWT,以及 SPF/DKIM/DMARC。診斷類工具還會產生 AI 修復提示。純前端工具絕不會傳送你的輸入內容。

$ 純前端工具絕不會傳送你的輸入內容。

02 — Field notes

重大資安事件與漏洞

Capital One、Log4Shell、MOVEit 等——公開的入侵事件與漏洞,轉化為你的防禦之道。

critical2026-06-12

MOVEit 大規模資料外洩(2023)—— SQL 注入零時差漏洞波及 2,700 多家組織的原因與防禦

入口是面向網際網路公開的檔案傳輸產品 MOVEit Transfer 的 SQL 注入零時差漏洞(CVE-2023-34362)。攻擊者植入 Web shell(LEMURLOOT),從後端資料庫批量竊取資料,致 2,700 多家組織、約 9,330 萬人的資料外洩。許多受害者是因為委外廠商、合作方使用了 MOVEit 而被間接牽連。在你的環境中,可透過 KEV 即時修補、最小化暴露面、Web↔DB 的最小權限與隔離、委外廠商盤點與資料最小化來防範。

critical2026-06-07

Capital One 資料外洩事件(2019)— SSRF 如何導致 1 億人資訊外洩及防禦之道

入口只是一個 SSRF。攻擊由此連鎖:中繼資料服務端點 → 權限過大的 IAM 臨時憑證 → S3 整體複製,最終約 1 億 600 萬人資訊外洩。每一跳本可被攔下。在你的環境中,用 IMDSv2、IAM 最小權限和出站目標白名單來杜絕重演。

critical2026-06-07

Codecov 竄改事件(2021)——CI 中『被信任的工具』被劫持導致機密資訊外洩的原因與防禦

根源在於『在 CI 中信任並執行的工具(curl|bash 的 Bash Uploader)在上游被竄改』。由於自己的程式碼毫髮無損,約兩個月都沒能察覺,CI 的機密資訊因此外洩。偵測靠的是總和檢查碼比對。在你的 CI 中,可用取得物的完整性檢核、機密的最小權限、輪替、egress 監控來防止重演。

03 — Our stance

本站堅持的原則

資安產品必須先把自家的事做好。

We don't hold secrets

We never store your real API keys — only metadata. The safest secret is the one we can't leak.

Scan only what you own

Diagnostics run on verified domains only. Internal IPs and metadata endpoints are blocked — SSRF defense is built in.

Minimal blast radius

Isolation so one breach can't cascade. This site itself runs on a dedicated, isolated host.

We test on ourselves

This site watches its own dependencies for CVEs. The incident that started this never gets missed by a human again.