我审查了120个网站：这些安全错误不断出现

Source: Dev.to

Overview

我通过对 120 个网站进行研究（已取得站长明确同意），调查了小型企业和早期创业公司在基础网络安全方面的做法。该研究结合了自动化工具和简单的人工检查，揭示了若干重复出现的模式。

Key Findings

• 缺失 HTTP 安全头 – 大约 68 % 的站点缺少至少一个推荐的安全头（例如用于内容类型处理或防止框架嵌套的头）。
• 泄露服务器或框架信息 – 大约 42 % 的站点暴露了不必要的细节，通常是因为从未进行硬化的默认配置。
• HTTPS/TLS 设置不佳 – 大约 23 % 的站点 TLS 配置未完全符合当前最佳实践，例如支持已过时的协议或缺少 HSTS 等防护。

在许多情况下，单个站点同时存在多项问题，进一步加大了整体风险。

Common Issues

这些问题并非高级漏洞；它们源于基本的配置错误，通常在网站首次部署时出现，随后在开发者停止维护代码后仍然保留。一个常见的误解是把安全视为在上线时一次性完成的任务，而不是随着站点演进而持续负责的工作。

Conclusion

这些疏漏的重复出现促使我创立了自己的机构 Secuiru，专注于在问题演变为严重风险之前，及早发现并修复常见的安全配置错误。