Cymetrics Tech Blog

逆向小白帶著滿箱的知識，準備正式開始拆解小程式啦！

剛出生的嬰兒最好欺負，網站也是一樣，網站初建時不管是為了方便測試或維護，都會對外開放較多的服務，駭客也容易在此時趁虛而入。本文將介紹從這些剛上線的網站中整理出的 5 種最常見卻有弱點的服務。

隨著前幾篇 email security 的介紹，我陸陸續續收到了一些問題，在交流的過程中覺得有一些很重要或是很有趣的討論可以更延伸探討。以下採取 Q&A 的格式，記錄一些討論與延伸知識。

# 前言繼上一篇的資安科普番外篇（一）-大意了啊沒有閃！常見網站曝險你中了幾項？！)之後，接著我們要來談談關於網站風險的修復，這部分我想大家的直覺應該都是無條件高風險先修，但當以這個思維執行時，把時間以及金錢成本加入權衡之後，又總是很難給出一個符合老闆期待的高 CP 值作法，而這其實就是我們今天所要討論的主題，如何有效率的選擇風險進行修復以及風險在法規技術面上的影響。

有鑒於大家了解了 SPF、DKIM、DMARC 設置上的原理與地雷後，對於如何設置可能還是霧颯颯，因此決定再推出範例篇讓大家看一些實際的紀錄以及設置方式。希望可以讓大家輕鬆做好 email security！

接續著前一篇，我們來講講 DKIM 跟 DMARC 的設定。

上一次我們深入瞭解了 email security 的原理與應用場景，這次來看看 SPF、DKIM、DMARC 該如何設置吧！

# 前言曝險就是暴露的風險，而曝險評估就是模擬駭客在網路上搜尋網站的資訊進行攻擊鏈的構建進行暴露的風險評估，而在協助許多商業網站（ e.g. 擁有會員登入、金流功能）執行非侵入式的網路曝險檢測時，發現許多商業網站的檢測結果在去除極端值後，有 60% 以上的網站曝險是共通的，來關注一下這些常見的網路曝險你的網站是否也大意了沒有閃。