資安相關連結
下面整理一份「資安一定要知道」的網站速查表,平常做漏洞管理、暴露面盤點、威脅模型、設定基線、事件初判會最常用到的那幾類。
| 類別 | 網站/組織 | 你一定會用到的原因 | 典型使用情境 |
|---|---|---|---|
| 漏洞編號權威 | CVE.org (CVE Program) | 漏洞的全球標準「身分證」與最基本定義來源。(cve.org) | 對齊漏洞名稱、內部通報、追蹤供應鏈依賴中的 CVE |
| 漏洞資料庫 | NVD (NIST) | 把 CVE 補成可管理的資料:常含 CVSS、CWE、CPE 等,方便自動化對帳與風險排序。(NVD) | 漏洞嚴重度評估、資產比對、報告引用 |
| 已被實戰利用清單 | CISA KEV Catalog | 告訴你「這顆真的有人在野外利用」,修補優先級通常要直接拉到最前。(CISA) | Patch 優先級決策、對管理層/變更會說明 |
| Web 安全共識 | OWASP Top 10 | Web 風險最常見的基線教材與治理共識;目前仍以 2021 為最新正式版、2025 有 RC 動態。(OWASP) | 安規教育、SDL 導入、WAF 規則與測試清單 |
| 攻擊技術知識庫 | MITRE ATT&CK | 威脅模型/檢測與對應防禦的共同語言(戰術/技術)。(MITRE ATT&CK) | SOC 規則對齊、紫隊演練、事件回溯與覆蓋率盤點 |
| 設定強化基線 | CIS Benchmarks / CIS | 各大產品/平台的共識型硬化建議,常用來做基線與稽核。(CIS) | OS/DB/Cloud 安全基線、合規與稽核 |
| 開源漏洞清單 | GitHub Advisory Database | 對開源套件很實用,能直接對應 registry(npm/pip/maven…)與漏洞資訊。(GitHub) | 供應鏈風險、依賴漏洞快篩、DevSecOps |
| 公網暴露面搜尋 | Shodan | 用來找「連上網的設備/服務」的搜尋引擎,做外部暴露面盤點很直觀。(shodan.io) | 自家公網資產盤點、錯誤暴露偵測 |
| 公網掃描/盤點 | Censys | 以網際網路掃描為基礎的資產發現/監測平台,適合做攻擊面治理。(Censys) | 對外服務監控、憑證/服務指紋觀測 |
| 惡意檔/URL 快篩 | VirusTotal | 多引擎/多情資的快速「第二意見」,適合初步 triage。(virustotal.com) | 可疑檔案、URL、IP/domain 初判 |
| 外洩查詢 | Have I Been Pwned (HIBP) | 查帳號/網域是否出現在已知外洩事件,用於個人與企業風險提醒。(Have I Been Pwned) | 帳號風險告警、憑證填充(credential stuffing)防護前置 |
| 漏洞利用參考 | Exploit-DB | 公開 PoC/Exploit 索引,偏研究/測試用途;防守端可用來驗證「是否真的可利用」。(Exploit DB) | 修補驗證、風險評估佐證(注意合規與授權) |
你可以怎麼把這份表用在日常流程
一條龍最省腦的作法:
-
新漏洞出現 → CVE.org 對齊編號。(cve.org)
-
去 NVD 看 CVSS/CPE/CWE 做初步排序與資產比對。(NVD)
-
檢查是否進 CISA KEV → 有就直接升級為最高修補優先。(CISA)
-
開源套件再補查 GitHub Advisory Database。(GitHub)
-
對外暴露面用 Shodan/Censys 做「我家有沒有暴露且中版本」的交叉驗證。(shodan.io)
-
事件/偵測與演練對照 MITRE ATT&CK。(MITRE ATT&CK)
-
長期治理用 OWASP + CIS Benchmarks 建基線。(OWASP)