Web 安全与工程安全(Security)
定位:构建全面的安全知识体系,涵盖攻防研究、安全工程两个维度,既包括防御加固,也包括攻击研究,强调"攻防一体"的实践视角。
核心内容版块
- 安全工程 - 从工程化视角建设安全能力(服务器安全、应用安全、自动化脚本)
- 攻防研究 - Web 安全、内网渗透、红蓝对抗、漏洞分析
- 密码学与网络安全 - 加密算法、TLS/SSL、身份认证
- 安全基础设施 - 防火墙、WAF、日志与取证、应急响应
快速导航
安全工程(Security Engineering)
从工程化视角建设安全能力,将安全融入开发和运维的每个环节。
服务器与基础设施安全
- SSH 安全加固 - 暴力破解防护、速率限制、fail2ban、蜜罐体系
- 防火墙与网络安全 - iptables、UFW、DDoS 防护
- 数据库安全 - PostgreSQL 加固、权限管理、加密存储
Golang 安全开发
- 安全陷阱与修复 - 10 个关键安全隐患和有效解决方案
- Web 应用安全 - XSS、SQL 注入、认证授权、输入验证
- 密码学与 TLS - HTTPS 实现、加密通信、证书管理
- 安全库工具链 - 主流安全库和依赖管理
多语言安全实践
- PHP / Python / Node.js 等语言的安全最佳实践
- 常见漏洞修复和防护方案
攻防研究(Offensive & Defensive)
学习从攻击者角度理解系统弱点,更好地防御和加固。
Web 安全研究
- 常见 Web 漏洞分析与利用
- 漏洞挖掘方法论
- WAF 绕过技术
内网渗透与对抗
- 内网信息收集
- 权限提升技术
- 横向移动与持久化
红蓝对抗
- 红队攻击模拟
- 蓝队防御加固
- 应急响应流程
日志与取证
- 日志采集与分析
- 安全事件溯源
- 审计体系建设
推荐学习路径
防御导向(基础安全)
- 服务器安全基础 - 从 SSH 加固和防火墙开始
- 应用安全 - 学习常见漏洞和防护方案
- 网络加密 - 理解 TLS/SSL 和密码学基础
- 监控体系 - 建立日志、审计和告警机制
进阶工程化(DevSecOps)
- 安全开发流程 - SSDLC 方法论
- 自动化检测 - 代码审计、依赖扫描、漏洞扫描
- 容器安全 - Docker/Kubernetes 安全加固
- 可观测性 - 安全监控和威胁检测
攻防一体(深度研究)
- 漏洞原理 - 深入理解漏洞成因和利用链
- 渗透测试 - 完整的渗透测试方法论
- 应急响应 - 安全事件处理和溯源
- 安全架构 - 企业级安全防护体系设计
精选文章推荐
新鲜热辣 🔥
- SSH Security Hardening Guide 2025 - 暴力破解防护完整方案 5 层防护体系、失败密钥分析、蜜罐部署、一键脚本
应用安全 🛡️
安全工具链 🔧
常见问题速查
服务器被爆破了怎么办?
→ 参考 SSH Security Hardening Guide 2025
Web 应用有哪些常见漏洞?
→ 参考 Golang Web 应用完整安全指南
如何建立安全的加密通信?
→ 参考 Golang 中的网络安全 TLS/SSL 的实现
Go 开发有哪些安全陷阱?
→ 参考 10 个 Golang 安全陷阱及真正有效的修复方案
相关专题
安全资源推荐
- OWASP Top 10 - Web 应用最常见的 10 个安全风险
- CWE - 常见弱点枚举,漏洞分类标准
- CVE - 公开漏洞库,及时跟踪安全动态
- HackerOne / Bugcrowd - 众测平台,学习真实漏洞案例
💡 安全提示:安全研究内容仅供学习和防御之用,未经授权的测试是违法的。在任何系统上进行安全测试前,请确保获得明确的书面授权。