sindecker/remediation-handbook

# 修复手册 **作者：** Matt McKee **LinkedIn：** [linkedin.com/in/mattmckee-11193234](https://linkedin.com/in/mattmckee-11193234) 修复安全漏洞的完整技术参考。端到端涵盖 47 类漏洞——包括其定义、影响、检测方法、具体的修复命令和代码，以及如何验证修复是否有效。没有废话，没有理论填充。发现漏洞，跳到相应章节，实施修复。 ## 目录 ### Web 应用程序 1. SQL 注入 (SQL Injection) 2. 跨站脚本攻击 (XSS) 3. CSRF 4. 身份验证弱点 5. JWT 漏洞 6. 不安全的直接对象引用 (IDOR) 7. 路径遍历 8. 服务端请求伪造 (SSRF) 9. XML 外部实体 (XXE) 10. 服务端模板注入 (SSTI) 11. 命令注入 12. 反序列化漏洞 13. 开放重定向 14. 业务逻辑缺陷 15. 竞态条件 16. 二阶漏洞 17. 供应链漏洞 18. GraphQL 漏洞 19. WebSocket 漏洞 20. HTTP 请求走私 ### 身份验证与会话 21. 会话固定 / 劫持 22. 暴力破解 23. 密码重置缺陷 24. OAuth 漏洞 25. API 密钥泄露 ### 基础设施与网络 26. SSL/TLS 配置错误 27. HTTP 安全标头 28. 目录遍历 / 文件暴露 29. 暴露的管理接口 30. DNS 安全 31. 开放端口和服务 32. 默认凭据 33. 信息泄露 ### 无线与物理 34. 公共 WiFi / 恶意接入点 35. RFID 克隆 36. NFC 漏洞 37. 蓝牙漏洞 38. 物理访问控制 ### 社会工程学 39. 钓鱼攻击 40. 语音钓鱼 41. 预设场景攻击 42. USB / 丢弃式攻击 ### 高级主题 43. 服务器加固 44. 容器安全 45. CI/CD 流水线安全 46. 日志与监控 47. 事件响应 ### 附录 - A. 快速参考工具命令 - B. 修复检查清单 - C. 合规性映射 ## 免费在线阅读 完整手册以单个 Markdown 文件形式提供 —— [remediation_handbook.md](remediation_handbook.md) —— 可在 GitHub 上直接阅读。 ## 获取排版后的 PDF [即将推出 —— 排版后的 PDF 版本] ## 许可证 发布用于教育和专业用途。您可以在注明出处的情况下使用、修改和重新分发。 **Matt McKee** — [linkedin.com/in/mattmckee-11193234](https://linkedin.com/in/mattmckee-11193234)

标签：API安全, CI/CD安全, CISA项目, CSRF, Cutter, Docker安全, ESC8, GitHub Advanced Security, GPT, IP 地址批量处理, JSON输出, JWT, Llama, PB级数据处理, RCE, SSRF, Web安全, XSS, XXE, 人工智能安全, 勒索软件, 合规性, 多线程, 安全加固, 安全手册, 安全运维, 库, 应急响应, 漏洞修复, 漏洞情报, 漏洞管理, 社会工程学, 网络安全, 网络安全培训, 蓝牙安全, 蓝队分析, 请求拦截, 防御加固, 防御知识库, 防御绕过, 隐私保护