資安相關連結
Shodan Search Engine下面整理一份「資安一定要知道」的網站速查表,平常做漏洞管理、暴露面盤點、威脅模型、設定基線、事件初判會最常用到的那幾類。
網站/組織
你一定會用到的原因
典型使用情境
漏洞編號權威
CVE.org (CVE Program)
漏洞的全球標準「身分證」與最基本定義來源。(cve.org)
對齊漏洞名稱、內部通報、追蹤供應鏈依賴中的 CVE
漏洞資料庫
NVD (NIST)
把 CVE 補成可管理的資料:常含 CVSS、CWE、CPE 等,方便自動化對帳與風險排序。(NVD)
漏洞嚴重度評估、資產比對、報告引用
已被實戰利用清單
CISA KEV Catalog
告訴你「這顆真的有人在野外利用」,修補優先級通常要直接拉到最前。(CISA)
Patch 優先級決策、對管理層/變更會說明
Web 安全共識
OWASP Top 10
Web 風險最常見的基線教材與治理共識;目前仍以 2021 為最新正式版、2025 有 RC 動態。(OWASP)
安規教育、SDL 導入、WAF 規則與測試清單
攻擊技術知識庫
MITRE ATT&CK
威脅模型/檢測與對應防禦的共同語言(戰術/技術)。(MITRE ATT&CK)
SOC 規則對齊、紫隊演練、事件回溯與覆蓋率盤點
設定強化基線
CIS Benchmarks / CIS
各大產品/平台的共識型硬化建議,常用來做基線與稽核。(CIS)
OS/DB/Cloud 安全基線、合規與稽核
開源漏洞清單
GitHub Advisory Database
對開源套件很實用,能直接對應 registry(npm/pip/maven…)與漏洞資訊。(GitHub)
供應鏈風險、依賴漏洞快篩、DevSecOps
公網暴露面搜尋
Shodan
用來找「連上網的設備/服務」的搜尋引擎,做外部暴露面盤點很直觀。(shodan.io)
自家公網資產盤點、錯誤暴露偵測
公網掃描/盤點
Censys
以網際網路掃描為基礎的資產發現/監測平台,適合做攻擊面治理。(Censys)
對外服務監控、憑證/服務指紋觀測
惡意檔/URL 快篩
VirusTotal
多引擎/多情資的快速「第二意見」,適合初步 triage。(virustotal.com)
可疑檔案、URL、IP/domain 初判
外洩查詢
Have I Been Pwned (HIBP)
查帳號/網域是否出現在已知外洩事件,用於個人與企業風險提醒。(Have I Been Pwned)
帳號風險告警、憑證填充(credential stuffing)防護前置
漏洞利用參考
Exploit-DB
公開 PoC/Exploit 索引,偏研究/測試用途;防守端可用來驗證「是否真的可利用」。(Exploit DB)
修補驗證、風險評估佐證(注意合規與授權)
你可以怎麼把這份表用在日常流程
一條龍最省腦的作法:
-
新漏洞出現 → CVE.org 對齊編號。(cve.org)
去 NVD 看 CVSS/CPE/CWE 做初步排序與資產比對。(NVD)
檢查是否進 CISA KEV → 有就直接升級為最高修補優先。(CISA)
開源套件再補查 GitHub Advisory Database。(GitHub)
對外暴露面用 Shodan/Censys 做「我家有沒有暴露且中版本」的交叉驗證。(shodan.io)
事件/偵測與演練對照 MITRE ATT&CK。(MITRE ATT&CK)
長期治理用 OWASP + CIS Benchmarks 建基線。(OWASP)