名詞解釋
CVE、CVSS、RCE、SSRF、XSS、SPF/DKIM/DMARC——每個名詞都附一句話結論與淺顯的說明。
什麼是 passkey(通行金鑰)— 不用密碼、偷不走的登入方式
passkey=不持有共享祕密(密碼)的登入方式。用裝置內的私鑰+生物辨識簽章,伺服器只保存公鑰。所以即使外洩也無法被濫用,在假網域上簽章無法成立=抗釣魚能力在結構上更強。比密碼+簡訊驗證碼更安全,遷移時從重要帳戶開始分階段推進才實際。
密碼雜湊是什麼 — 用不可逆的單向轉換安全保存密碼的機制
密碼雜湊=用不可逆的單向轉換來保存密碼的方法。明文保存不可取。與加密不同,它無法被解密,這正是優點。但直接使用 MD5/SHA-256 會被彩虹表或暴力破解攻破。正確做法是『每個使用者不同的 salt』+『故意做得很慢的專用雜湊(bcrypt/Argon2/scrypt)』。不要自己實作,交給標準函式庫。
salt(鹽)是什麼 — 給密碼雜湊新增的「每個使用者各不相同的調味」
salt=在對密碼做雜湊之前新增的、每個使用者各不相同的隨機值。即便密碼相同,所有人的保存值也會各不相同,預先計算好的彩虹表因此失效,攻擊者也無法用一次破解攻破多個人。salt 不是祕密,可以和雜湊一起保存。使用 bcrypt/Argon2 時會自動加上。
什麼是網路釣魚(Phishing)——比「識破」更可靠的防禦與手法種類
網路釣魚是冒充可信對象、誘導你進入偽造的登入頁面等,竊取憑證或個人資訊(或誘使你執行惡意軟體)的詐騙。它的特點是攻擊『人的判斷』而非軟體漏洞,是勒索軟體與資訊外洩最大的入侵入口。如今有以假亂真的假網站連一次性驗證碼都即時中繼的中間人型(AiTM),連SMS/應用程式的MFA也可能被突破。可靠的防禦不是『識破的注意力』,而是與網域繫結的抗釣魚MFA(通行金鑰/實體金鑰)、不點連結而直接存取官方、以及郵件認證(SPF/DKIM/DMARC)。
JWT(JSON Web Token)是什麼 — 帶簽章的通行證原理與安全用法
JWT 是伺服器簽章後發放的、無法竄改的「通行證」。它由 header.payload.signature 三部分組成,伺服器透過簽章來校驗是否為真品。要點=①必須校驗簽章並固定期望的 alg(拒絕 alg:none)②內容人人可讀,不要放機密③把有效期設短並準備失效策略。解碼(讀取內容)與校驗(用簽章確認真偽)是兩回事。
什麼是勒索軟體 —— 運作原理、入侵途徑與「不付款」的防禦
勒索軟體是一種加密檔案並要求「想復原就付贖金」的惡意軟體。如今除了加密,還會竊取資料並威脅「不付款就公開」,這種雙重勒索已成主流——即使能解密,資訊外洩也無法挽回。主要入侵口是釣魚、弱密碼/無 MFA 的 VPN/RDP,以及未修補的對外公開漏洞。最重要的防禦是「離線/防竄改備份+復原演練」——打造無需付款也能復原的狀態。同時也要把入口(MFA·修補)和受害範圍(最小權限·隔離)一併加固。
BitLocker 是什麼 — 用 Windows 磁碟加密,在裝置被竊或遺失時保護資料
BitLocker 是 Windows 內建的磁碟加密。它保護處於關機/磁碟機被拔出狀態下的資料,在裝置被竊或遺失時把內容變成密文。最大的雷是還原金鑰的保管——一旦遺失,你自己就會被鎖在門外。它無法保護正在執行、已登入的電腦,所以要與強登入+自動鎖定搭配使用。
C2(命令與控制)是什麼 — 入侵後攻擊者遠端操控終端的通訊
C2 是被入侵的終端回連攻擊者伺服器(回呼/信標)、用於接收命令與外傳資料的遠端操控通道,處於入侵「之後」的階段。偵測的關鍵是外向的可疑定期通訊與已知的惡意目的地。防禦靠出口(egress)控制·DNS 監控·IOC/IOA 比對·最小權限。在入侵調查中,確認「不存在常駐 C2」也很重要。
CORS 是什麼 — 原理,以及設定錯誤(CORS misconfiguration)會引發什麼
CORS 是瀏覽器用來控制「其他來源的 JS 能否讀取自己 API 回應」的機制。設定錯誤=反射任意 Origin,或把 Access-Control-Allow-Origin:* 與認證資訊同時使用,會導致第三方網站讀取到已登入資料。核心防禦是採用白名單方式、不要不加判斷地反射 Origin、預設拒絕。
EDR 是什麼 — 記錄終端「行為」、偵測並回應已繞過防線的攻擊的機制
EDR 持續記錄終端行為,偵測可疑動向(偏 IOA),並進一步執行隔離、調查等回應。它用行為與時間軸捕捉以特徵碼/IOC 比對為主的傳統 AV 會漏掉的無檔案攻擊和正規工具濫用。小規模環境往往並不需要完整 EDR,借助作業系統內建防護+紀錄+IOA 的思路即可獲得大量價值。
什麼是 IOA(攻擊指標)— 不靠痕跡,而靠「正在進行的攻擊行為」來察覺
IOA(攻擊指標)是靠攻擊的「行為」(提權→橫向移動→對外外傳等手法的流程)來察覺的思路,與事後痕跡 IOC 成對。雜湊和 IP 攻擊者一瞬就能改,但手法(行為)難以改變=IOA 更長效。即便規模小,只要關注「與平時不同的舉動」也能靠近這一思路。
什麼是 IOC(入侵指標)— 從攻擊留下的痕跡中發現入侵的線索
IOC(入侵指標)是入侵留下的痕跡=已知惡意的檔案雜湊、通訊對端 IP/網域、URL、異常程序等。其價值在於能機械地偵測並攔截已知的壞東西。但它是攻擊者可以隨手丟棄、隨意更換的事後線索,所以 IOC 比對只是「最後的比對材料」,並非萬能。真正的關鍵是不會著火的設計(最小權限・打修補程式・MFA)。
工作階段固定(Session Fixation)是什麼 — 讓使用者用攻擊者準備好的 ID 登入的漏洞
工作階段固定是攻擊者預先準備一個已知的 session ID 讓受害者使用,待其登入後用該 ID 冒充受害者的攻擊。關鍵防禦是『每次登入(以及權限變化)時都重新產生 session ID』。禁止從 URL 接收 ID,並用 HttpOnly/Secure/SameSite 加固 Cookie。
什麼是點擊劫持 — 用透明陷阱讓你按下「看不見的按鈕」的攻擊
點擊劫持是用透明的 iframe 把自己的網站疊加到另一個網站上,誘導使用者執行非本意操作(轉帳、修改設定、同意授權)的攻擊。核心防禦是「不讓自己的網站被嵌入到他站的框架裡」=CSP frame-ancestors 與 X-Frame-Options。
IDOR 是什麼 — 僅靠改寫 ID 就能看到他人資料的漏洞
IDOR 是一種僅靠把 ?id=124 改成 125 就能看到他人發票、個人資訊的存取控制缺陷漏洞。關鍵防禦是「在伺服器端每次校驗『目前登入的這個使用者,是否可以查看該物件』」。難以猜測的 ID 並不能算作對策。
什麼是開放重新導向(open redirect)——以受信任的 URL 為跳板,被轉到別的站點
開放重新導向是指可以在 ?next= 等跳轉目標參數裡塞入外部 URL,從而以受信任網域為跳板把使用者轉到別的站點的漏洞。它會成為 phishing 的基礎。真正的防禦是「跳轉目標不接收外部 URL/只允許允許清單或相對路徑」。
路徑遍歷是什麼 — 用 ../ 讀取伺服器上「本不該交出的檔案」的漏洞
路徑遍歷是一種在檔名輸入中混入 ../,從而逃出基準目錄、讀寫 .env、設定、金鑰等的漏洞。關鍵防禦是「不把使用者輸入直接用作檔案路徑」「先正規化再將其限制在基準目錄內」。
CSRF(跨站請求偽造)是什麼 — 讓登入中的使用者「被擅自操作」的攻擊
CSRF 是一種擅自讓登入中使用者的瀏覽器發出「並非本人本意的操作」的攻擊,它濫用了瀏覽器自動傳送 Cookie 的特性。關鍵防禦是 CSRF Token+SameSite Cookie。不用 GET 來改變狀態同樣重要。
SPF / DKIM / DMARC 是什麼——保護自己網域免遭「冒名郵件」的三件套
SPF/DKIM/DMARC 是讓收件方驗證自有網域郵件是否真實的三項 DNS 設定。SPF=允許寄信的伺服器,DKIM=電子簽章,DMARC=原則+報告。三者齊備,就能攔截冒用你名義的冒充與釣魚郵件。DMARC 從 p=none 開始逐步加嚴。
什麼是 SQL injection(SQLi)——能用輸入改寫資料庫命令的漏洞
SQLi 是一種讓輸入被當作「命令的一部分」而非「資料」來解釋、從而改變資料庫查詢含義的漏洞,直接導致資料被讀取、被竄改、被全部刪除。真正有效的防禦是「停止字串串接,用佔位符(prepared statement)傳值」。
XSS(跨站指令碼)是什麼 — 讓程式碼在他人瀏覽器中被擅自執行的漏洞
XSS 是一種讓攻擊者準備的字串「作為指令碼」在另一名使用者的瀏覽器中被執行的漏洞,直接導致工作階段被竊取與冒充。真正關鍵的防禦是「輸出時跳脫」。不破壞框架的自動跳脫是最有效的對策。
什麼是 CVE — 給漏洞編上「統一編號」的機制
CVE 是給漏洞分配的全球通用識別編號(例如 CVE-2025-12345)。它讓所有人能用同一個名字引用同一個漏洞,是對策與監控的起點。CVE=名字、CVSS=嚴重程度、KEV=是否正被利用,職責各不相同。對個人而言,用機器監控來追蹤才實際。
CVSS 是什麼 — 漏洞的「嚴重程度評分」,以及它的評分標準
CVSS 是用 0.0~10.0 表示漏洞嚴重程度的通用分數。分數由「攻擊途徑・複雜度・所需權限・使用者互動・影響範圍・CIA」這些既定指標透過公式算出。懂了標準就能讀懂 10.0 的含義。不過優先順序還要結合 KEV(是否正被利用)和你自己是否在用來一起判斷。
「.env」是什麼 — 環境變數檔案外洩會發生什麼
.env 是把應用程式的機密值(資料庫認證、API key、加密金鑰)匯總在一起的設定檔案。由於鑰匙集中在一個檔案裡,一旦被公開,所有機密就會一次性外洩。應把應用程式本體放到 docroot 之外,不要提交到 git,外洩後要把全部鑰匙輪替掉。
什麼是 RCE(遠端程式碼執行)——為什麼它是最糟一類的漏洞
RCE 是一種讓攻擊者能在伺服器上執行任意程式碼的漏洞。它不止於資訊外洩,而是直接通向被接管,屬於最糟一類。被害範圍由「該程序的權限」決定。防禦的關鍵在於迅速更新、CVE 監控、最小權限。
什麼是 SSRF(伺服器端請求偽造)
SSRF 是利用外部輸入的 URL,讓伺服器去存取內部資源(內部 IP 或雲端中繼資料)的攻擊。只要做了去取得 URL 的功能,就必須有目標 allowlist、內部網路阻斷,以及堵住重新導向 / DNS 重新解析的繞過路徑。它也是 Capital One 事故的入口。