持续安全即服务

从安全诊断到审计证据, SPHIOR每月为您全程承担。

符合SOC 2、ISO 27001与OWASP标准,SPHIOR每月生成专为工程师、管理层和审计人员设计的安全证据。 支持Vanta和Drata集成。

Check your site for free

https://
不作为的代价

当事件登上新闻时, 已经成为一场财务危机。

那些把安全放在次要位置的企业,究竟发生了什么。 以下每一个案例都是真实记录,而非假设。

真实安全事件案例

Code Spaces2014

业务连续性

12小时内停止

从遭入侵到破产,仅用了12小时

AWS根账户未启用MFA,盗取的凭据即可完全访问。拒绝支付赎金后,攻击者立即删除了所有实例、存储桶和快照。公司无任何恢复手段,当天宣布倒闭。配置云环境时跳过MFA这一步骤,葬送了整个企业。

原因

云管理控制台未配置MFA

Yahoo! (US)2013–2014

受影响账户

30亿+

弱加密蒸发了约3.5亿美元的企业价值

2013年和2014年的两次入侵直到2016年才公开披露。MD5密码极易破解,攻击者持续利用漏洞多年。最终全部30亿账户受到影响。Verizon收购价因隐瞒事件被削减约3.5亿美元。

原因

使用过时MD5哈希,延迟披露

British Airways2018

受影响客户

约50万

22行代码撼动了一个全球品牌

Magecart在结账页面的第三方JavaScript中注入22行窃取代码。近两周内,客户输入的卡片信息被实时发送至攻击者服务器。约50万客户受影响,GDPR初始罚款提案高达1.83亿英镑。

原因

第三方JavaScript注入(Magecart攻击)

Equifax2017

泄露记录

1.48亿条

一个未修复的漏洞暴露了1.48亿人的信息

Apache Struts关键漏洞补丁公布后两个月仍未修复。攻击者利用该漏洞入侵,在内部潜伏76天,窃取包括社会安全号在内的1.48亿条记录。和解及罚款总额超过5.75亿美元。CEO被传唤至国会作证。

原因

CVE-2017-5638漏洞补丁两个月未修复

Target2013

被盗卡片

4000万张

暖通空调供应商的凭据导致4000万张支付卡泄露

攻击者通过盗取暖通空调供应商凭据进入企业内网。由于POS系统与供应商网络未隔离,恶意软件在圣诞季蔓延至全国4000余台收银终端。4000万张支付卡和7000万条个人信息遭窃。

原因

供应商网络与POS系统未隔离

SolarWinds2020

受影响组织

1.8万+

一次合法软件更新成为国家级网络武器

攻击者将SUNBURST后门植入合法的监控软件更新包。超过1.8万个组织安装了该更新,受害者涵盖美国财政部和国务院。入侵约9个月后才被发现,重新定义了供应链攻击的威胁级别。

原因

构建系统被入侵,更新包内植入恶意代码

Change Healthcare2024

总损失

约30亿美元+

一个缺失的MFA使美国医疗系统瘫痪数周

关键系统的一个账户未配置MFA。一个被盗密码足以让勒索软件攻击者进入核心系统。全美药房和医院数周内无法处理处方和支付业务。UnitedHealth集团总损失超过30亿美元。

原因

关键访问账户未配置MFA

CrowdStrike2024

崩溃设备数

约850万台

安全厂商自身的更新引发史上最大IT故障

一次有缺陷的内容更新(非恶意软件)导致全球约850万台Windows设备同时崩溃。航空、银行、医院和广播机构同时陷入停摆。仅财富500强企业的损失就超过54亿美元。

原因

未充分测试的更新直接推送至生产环境

Bybit2025

被盗金额

约14亿美元

网络钓鱼夺取了多签钱包的密钥控制权

攻击者通过网络钓鱼和访问权限劫持控制了多签钱包的签名环境。多重签名机制本身运作正常,但管理密钥的人员层面存在漏洞。约14亿美元以太坊被盗,创下单次加密货币盗窃案史上最大金额。

原因

对多签密钥管理人员实施网络钓鱼

覆盖架构

我们不只是关注新闻头条。 我们绘制您真实的攻击面。

正常运行时间监控并不等同于安全测试。SPHIOR持续评估四个不同层面——从公开攻击面到认证区域。

SPHIOR

公开攻击面

攻击者首先看到的一切

域名、SSL/TLS、暴露端口、泄露元数据。这些构成您初始风险态势的攻击面。

配置项

错误配置是最常被忽视的漏洞

安全标头、TLS设置、公开存储、依赖漂移——持续检测,而非每年一次。

API 与端点

隐藏的入口潜伏在您的流量中

未记录的端点、泄露响应、弱输入验证。这些是您应用边界特有的风险。

认证区域

真正的风险隐藏在登录之后

在企业版中,经过所有权验证和授权确认后,SPHIOR会在认证区域内执行动态测试(DAST)。

Cloud Infrastructure

在攻击者之前发现云配置错误

自动审计 AWS、GCP、Azure 和 Cloudflare 的 IAM 策略、存储暴露、防火墙规则和加密设置。Enterprise 计划每月检测云配置漏洞。

安全运营即服务

将整月的安全运营工作 交给SPHIOR代行。

持续的外部评估、经过优先排序的发现以及针对不同角色优化的报告。 通常需要整支安全团队才能完成的工作——以服务形式,每月为您交付。

STL 01

持续从外部视角监控

这不是一次性扫描,而是持续的外部态势评估——月复一月,始终从攻击者的视角审视您的系统。

STL 02

只关注真正重要的发现

我们区分信号与噪音,确保呈现给您的都是本月真正值得处理的工作。

STL 03

针对不同读者量身定制

工程师获得修复方案,管理层获得风险概况,审计人员获得证据材料。同一数据源——三份针对性交付物。

STL 04

每月准时交付

报告每月同一天准时送达,让「我们的安全状况如何?」这个问题随时都有最新答案。

面向决策的报告

一次评估。 三类受众。三份针对性输出。

漏洞报告的意义因读者而异。SPHIOR从同一份证据中,为工程团队、管理层和审计人员生成各自所需的报告形态。

E.2 · Featured Finding #1
重点 finding 详细观察

SQL Injection in /api/search

NEW
criticalCVSS 9.1· External 漏洞交叉验证完成
api.example.com/api/searchSphior DAST active rule (40018)

1. Risk Summary

在本月 Sphior 自动诊断中,我们在贵公司的外部公开 API endpoint /api/search 上观察到 SQL Injection 漏洞。这是 CWE-89 (Improper Neutralization of SQL Element) 的典型示例,存在通过已认证 user 进行 DB 内容获取、认证信息泄露、schema 列举的风险。 观察到 `q` parameter 的 user-supplied input 直接连接到 SQL 查询的 pattern,且 blind SQL injection 也可能。直接影响 SOC 2 CC6.1 / ISO 27001 A.8.2 + GDPR Art. 32 的审计支持证据质量,观察到的影响范围为约 4.2 万件已认证 user (observed scope)。建议在本月内对应。

2. Risk Snapshot

业务影响
重大

约 4.2 万件已认证 user 规模的信息泄露可能性 (observed scope)。GDPR 通知义务 trigger 可能性、对 SOC 2 CC6.1 审计支持证据质量产生重大影响。

攻击难度

通过已认证 user 攻击成立,reconnaissance 后的 payload 构建技术上容易。通过 active DAST scan 容易检测,仅需有限的 scripting 知识即可。

观察紧急度
最高

本月新检测。Critical class,建议本季度内对应。通过 WAF emergency rule 可暂时 mitigation,需要 attacker reconnaissance preemptive。

3. Observed Evidence (摘录)

完整 evidence + scanner 原始输出见 App-A · #1
HTTP TRACE
GET /api/search?q=test' UNION SELECT NULL,version(),NULL-- HTTP/1.1 Host: api.example.com Authorization: Bearer <REDACTED> Content-Type: application/json Response: 200 OK { "results": [{"id": null, "name": "PostgreSQL 14.5 ← DB version 泄露"}] }

4. Recommended Actions

STEP 01Emergency向 parameterized query 改修

将 /api/search 的 SQL 查询改写为 prepared statement,分离 user input 与 SQL syntax。建议本季度内对应,改修期间通过 WAF rule 进行并行 mitigation。

Implementation hintExpress + pg: `client.query('SELECT … WHERE q = $1', [userInput])` / Python + psycopg2: `cur.execute('SELECT … WHERE q = %s', (userInput,))`

STEP 02ContainmentWAF emergency rule 的 deploy

对所有 endpoint 应用 WAF rule,block 包含 SQL pattern (UNION / SELECT / -- / ; 等) 的 payload。改修完成前暂时 mitigation,与 SOC 联动体制组合运用。

Implementation hintWAF managed ruleset OWASP CRS (sql-injection) temporary enable / WAF: AWSManagedRulesSQLiRuleSet high-priority adoption

STEP 03Verification通过 Sphior re-scan 进行 fix verification

改修后通过 Sphior re-scan 验证 fix + 确认对同 payload pattern 的 400 response。确认结果作为 SOC 2 审计支持证据存储为 tamper-evident snapshot (SHA-256 anchored),反映在下次月度报告中。

Implementation hintSphior dashboard 的 Re-scan now 按钮 (5 分钟内 scan 完成 + 结果反映)

5. Compliance Standards & References

CWE-89OWASP A03 InjectionNIST SP 800-53 SI-10SOC 2 CC6.1ISO 27001:2022 A.8.2
Related findings#6 (Verbose error on /login) / #11 (CVE-2024-XXXX lodash) — 认证境界补充观察事项
Affected scope包含 /api/search 在内共 8 个 endpoint 存在同 pattern 的可能性,建议通过 Sphior re-scan 确认范围
Full Per-Finding CardFull Per-Finding Card (Critical 2 page Extended) 请参阅 App-A · #1 — Request/Response 全文 + exploitation chain + remediation code 完整版
Audit-support reference  |  Confidential
E.2 · Featured Finding #1  |  Page 19 of 30
E.2 · Featured Finding #2
重点 finding 详细观察

Missing CSRF Token on /api/transfer

NEW
criticalCVSS 8.8· Authenticated (state-changing)交叉验证完成
api.example.com/api/transferSphior DAST passive scan (10202)

1. Risk Summary

本 finding 是 /api/transfer endpoint 上 CSRF (Cross-Site Request Forgery) token 验证欠缺。Sphior Web App Scanner 观察到状态变更系 endpoint 上 CSRF token middleware 未应用,允许使用已认证 user session 进行 cross-site request。 对 POST / PUT / DELETE 系 endpoint 的 Origin / Referer 验证也未确认,SameSite cookie attribute 也设置为 `None`。影响 SOC 2 CC6.6 / ISO 27001 A.8.8 + A.5.30 的审计支持证据质量,作为对财务直结交易 endpoint 的观察事象,建议本月内对应。

2. Risk Snapshot

业务影响
重大

已认证 user 的不正交易 trigger 可能性,财务直结 endpoint。对 SOC 2 CC6.6 审计支持证据质量 + Processing Integrity (PI1.1) 产生重大影响。

攻击难度
中-高

限于 state-changing endpoint,但通过 phishing 在已认证 user browsing 期间 redirect 到 attacker site 即可攻击成立,技术上 straightforward。

观察紧急度

需要认证 user 的 victim,但通过 phishing 容易获取。建议本季度内对应,通过 middleware 应用可即时 mitigation。

3. Observed Evidence (摘录)

完整 evidence + scanner 原始输出见 App-A · #2
HTTP TRACE
POST /api/transfer HTTP/1.1 Host: api.example.com Cookie: session_id=abc123 (HttpOnly 未设置, SameSite=None) Content-Type: application/json Origin: https://attacker.example {"to":"attacker_account","amount":50000} Response: 200 OK ← 未验证 CSRF token 即处理完成 (本应期待 403)

4. Recommended Actions

STEP 01EmergencyDouble-submit CSRF token middleware 的应用

对 12 件状态变更系 endpoint (POST / PUT / DELETE) install + 应用 CSRF token middleware。token 欠缺 / mismatch 时通过 403 response reject。建议本季度内对应。

Implementation hintExpress: csurf package / Django: built-in {% csrf_token %} / Rails: protect_from_forgery

STEP 02ContainmentSameSite cookie attribute 的 Strict 化

对 session cookie 设置 SameSite=Strict,即时限制 cross-site request 中的 cookie 发送。HttpOnly + Secure 也一并应用,作为 middleware 改修期间的暂时对策。

Implementation hintSet-Cookie: session=…; Secure; HttpOnly; SameSite=Strict (所有 endpoint 统一)

STEP 03Verification通过 Regression test + Sphior re-scan 进行 fix verification

将状态变更系 endpoint 的 automated CSRF test 集成到 CI,verify token 欠缺 / mismatch 时的 403 response。通过 Sphior re-scan 确认所有 endpoint 的 adoption。

Implementation hint通过 Sphior Code Scanner 的 CI integration 可持续检测 missing CSRF test

5. Compliance Standards & References

CWE-352OWASP A01 Broken Access ControlNIST SP 800-53 IA-2SOC 2 CC6.6 · PI1.1ISO 27001:2022 A.8.8 · A.5.30
Related findings#8 (Cookie no HttpOnly) — 状态变更系 12 件 endpoint 中,确认除本 finding 以外均已应用 CSRF token
Affected scope在包含 /api/transfer 在内的 12 件 state-changing endpoint 中 1 件观察到,剩余 11 件已应用
Full Per-Finding CardFull Per-Finding Card (Critical 2 page Extended) 请参阅 App-A · #2 — middleware 应用 code sample + framework 别 implementation guide 完整版
Audit-support reference  |  Confidential
E.2 · Featured Finding #2  |  Page 20 of 30
E.2 · Featured Finding #3
重点 finding 详细观察

Reflected XSS in Search Param

NEW
highCVSS 7.5· External 漏洞交叉验证完成
app.example.com/search?q=Sphior DAST active rule (40012)

1. Risk Summary

本 finding 是 app.example.com/search endpoint 的 query parameter (q=) 上的 Reflected Cross-Site Scripting。Sphior Web App Scanner 确认 payload `<script>alert(1)</script>` 直接反映在 response HTML 中。 观察到 search query 显示部分未应用 HTML escape,template engine 的 auto-escape 也被禁用的 pattern。结合 HttpOnly 未设置 cookie 的同时观察,存在 session 窃取 → admin session hijacking 连锁的可能性。影响 SOC 2 CC6.6 / ISO 27001 A.8.8 的审计支持证据质量,建议本季度内对应。

2. Risk Snapshot

业务影响
中-高

session cookie 窃取 (HttpOnly 未设置组合)、phishing 连锁、admin 面板 session hijacking 的可能性。

攻击难度

通过 URL trivial,只需让其 click craft 完成的 URL 即可攻击成立。由于公开 search 功能不需要 reconnaissance,攻击 surface 宽广。

观察紧急度

公开面 endpoint 攻击 surface 宽广,建议 early detection 后 rapid response。通过 output encoding + CSP 可根本对应。

3. Observed Evidence (摘录)

完整 evidence + scanner 原始输出见 App-A · #3
HTTP TRACE
GET /search?q=<script>alert(document.cookie)</script> HTTP/1.1 Host: app.example.com Response: 200 OK Content-Type: text/html <html><body>搜索结果: <script>alert(document.cookie)</script>… ← payload 直接反映在 response HTML 中,由 user browser execute (未应用 encode)

4. Recommended Actions

STEP 01EmergencyOutput encoding 的 standardization

将 search query 显示部分通过 HTML escape (&lt; / &gt; / &amp; / &quot; 形式) 输出,在所有 view 上重新启用 template engine 的 auto-escape。建议本季度内对应。

Implementation hintReact: JSX auto-escape default / Vue: {{ }} auto-escape / Django: {% autoescape on %}

STEP 02ContainmentContent-Security-Policy header 的 strict 化

对所有 response 添加禁止 inline script 的 CSP policy (script-src 'self' 等),完全排除 unsafe-inline。废弃 X-XSS-Protection header + 迁移到 CSP。

Implementation hint通过 Cloudflare Workers / Nginx config / Express helmet middleware 对所有 endpoint 应用

STEP 03Verificationsession cookie 的 HttpOnly + SameSite 必须化

对 session cookie 必须设置 HttpOnly + SameSite=Strict,防止从 JS 获取 cookie,最小化 XSS 导致的 cookie 窃取影响。通过 Sphior re-scan 确认全件 adoption。

Implementation hintSet-Cookie: session=…; HttpOnly; Secure; SameSite=Strict (所有 endpoint 统一)

5. Compliance Standards & References

CWE-79OWASP A03 InjectionNIST SP 800-53 SI-10SOC 2 CC6.6ISO 27001:2022 A.8.8
Related findings#8 (Cookie no HttpOnly) / #6 (Verbose error on /login) — XSS 与 HttpOnly cookie 不在的组合下影响增大
Affected scope包含 app.example.com/search 在内的 3 个公开 search 功能 endpoint 存在同 pattern 的可能性,建议通过 Sphior re-scan 确认范围
Full Per-Finding CardFull Per-Finding Card (Standard 1 page) 请参阅 App-A · #3 — output encoding code sample + CSP policy 设计指针 完整版
Audit-support reference  |  Confidential
E.2 · Featured Finding #3  |  Page 21 of 30
Threat Update Engine

每月,SPHIOR持续追踪 最新攻击手法。

安全威胁每月都在变化。 SPHIOR安全团队持续将新漏洞、攻击手法及CVE情报纳入扫描引擎,确保诊断标准始终与时俱进。

每次月度评估均在最新引擎版本上运行。

引擎更新

持续更新中

    Engine continuously synced

    全球扫描执行基础设施

    每月,无需专属工程师,SPHIOR全权代理诊断、报告生成与交付。扫描从全球各地的数据中心执行。

    Global
    24个城市
    24/7
    零接触治理

    Ref · SPHIOR-SOC2

    Monthly Security Evidence

    SOC 2
    • 外部评估执行记录
    • 重大发现优先级评估
    • 修复完成状态跟踪
    每月持续审查中

    Ref · SPHIOR-ISO

    Gap Analysis Report

    ISO 27001
    • 信息安全管控合规确认
    • 风险评估结果记录
    • 纠正措施执行状况
    每季度审计就绪

    Ref · SPHIOR-OWASP

    Scan Evidence

    OWASP
    • OWASP Top 10 合规扫描
    • API与认证区域深度诊断
    • CVSS评分与修复优先级
    每月引擎已更新
    治理与证据

    每月更新的第三方诊断记录, 是建立信任的唯一根据。

    当安全事件发生时,关键在于您事前做了什么。SPHIOR的月度报告将成为可供举证的证据——适用于审计、供应商风险评估和企业尽职调查。

    • SOC 2 / ISO 27001 支持证据

      外部评估记录、评估范围及修复状态——完整打包,供审计人员参考使用。

    • 供应商审查与安全问卷

      以实际的月度成果支撑您的安全态势说明,而非仅凭描述性语言。

    • 并购与IPO中的网络安全尽职调查

      消除「网络安全管理不足」这一在尽职调查中导致估值折扣的风险因素。

    选择您的方案

    提前掌握网站宕机、信誉损失和潜在漏洞风险,并清晰了解修复的优先顺序。 根据您的业务规模和所需的安全保障深度,选择适合的方案。

    节省 20%

    Core

    适合初创企业与小型团队

    每月自动检查正常运行时间、DNS、TLS和基本配置错误。无需专职工程师即可维持基础安全保障。

    $199/月

    按年收费 1,990

    • 持续正常运行时间与响应监控
    • 基线漏洞与配置错误扫描
    • 暴露端点检测
    • DNS安全审计(SPF / DKIM / DMARC / DNSSEC)
    • TLS证书透明度检查
    • Core Web Vitals、SEO与可访问性审计
    • 月度安全基线审计报告

    首月免费

    Scale

    适合成长型企业与SaaS团队

    包含Core全部功能,加上专用扫描引擎检测CVE和已知漏洞。通过只读凭据接入 AWS / GCP / Azure / Cloudflare,将云基础设施审计也加入月度报告。每月变化追踪精确告知应优先修复什么。

    $599/月

    按年收费 5,990

    • 包含 Core 的所有功能
    • 完整CVE与已知漏洞扫描
    • 响应头、HTML与隐私深度审计
    • 月度变化追踪(新风险检测)
    • 代码安全扫描(GitHub集成)
    • 云基础设施审计(AWS / GCP / Azure / Cloudflare — 可选集成)
    • GRC 自动推送(Drata / Vanta / Secureframe)
    • 月度漏洞报告(含修复优先级)

    首月免费

    Enterprise

    适合受监管行业与需要审计的组织

    包含Scale全部功能,另增DAST对认证区域、管理面板和API进行完整诊断。云基础设施审计作为标配必须设置,与AI治理分析结合每月自动生成审计支持证据。

    $2,499/月

    按年收费 24,990

    根据覆盖范围、认证设置和支持需求定制报价。

    • 包含 Scale 的所有功能
    • 动态应用安全测试(DAST)
    • 认证区域与管理面板完整审计
    • API 安全测试
    • 云基础设施安全审计(标配必须设置,Full Integration)
    • AI治理分析 + AI聊天标配
    • 治理审计报告(高管简报 + 审计追踪)

    准备好保护您的数字未来了吗?

    免费开始

    ✓ 全天候监控