读《白帽子讲Web安全》有感
该博客转自hangshao.tech,之前忘记在CSDN发布了。
今天是2020.11.19,我开始了第二次拜读《白帽子讲Web安全》。
记得大一的时候就买过这本书,不过奈何当时水平有限,实在是难以阅读下去,于是放弃。我想,在大三的时候再来重拾这本书,应该会有所收获,如果还能作一个总结,那便更好,所以现在陆陆续续地写一些吧,写一点发一点,或许全部写完的时候,已经是2021年了。(在写了在写了…)
第一章是巨佬吴翰清讲述他的安全世界观。这一章讲了中国黑客史,介绍了白帽子和黑帽子,揭示了他认为的安全问题的本质——信任问题,因此,划分不同的信任等级,并且划分不同信任域的边界显得尤为重要,数据从高等级信任域流向低等级信任域是不需要安全检查的,从低等级流向高等级则需要安全检查。
随后,书中资产划分、威胁分析、风险分析以及设计安全方案这些方面的内容,感觉是站在企业的高度,我目前没有什么深切感受,所以快速阅览,等到工作以后,再深入了解也不迟。
读完第一章最后一部分的内容——“白帽子兵法”,我很有感触,因为我做过一些CTF的Web题目,真的是与作者介绍的“白帽子兵法”呼应上了,下面总结一下作者所写的“兵法”吧。
白帽子兵法:
1.白名单、黑名单
黑名单容易遗漏一些情况,白名单更加安全,但也不是绝对的安全
2.最小权限原则
不要过度授权,比如Linux中的root权限
3.纵深防御原则
就入侵的防御来说,有Web应用安全、OS安全、数据库安全、网络环境安全等,在任何一个环节设置有效的防御措施,都有可能导致入侵过程功亏一篑。因此,在不同层面设计安全方案将共同组成整个纵深的防御体系。
纵深防御的第二层含义就是在正确的地方做正确的事,用户想输入1 < 2,结果你把尖括号过滤了,那自然是不合适的
4.数据与代码分离原则
这一原则适用于各种由“注入”引发的安全问题
5.不可预测性原则
不可预测性能有效对抗基于篡改和伪造的攻击。如果一个博客里的文章编号是按照数字升序排列的,那么将会有很大的安全隐患,如果把文章id换成随机生成的,那么将会安全很多,至少别人写爬虫都没那么好写了。刚刚看了一下,我在CSDN里面发的文章,id也都是随机的,不是按顺序来的
OK,下次再更,这周好忙啊,26号科二必过,疫情让我这学期格外忙啊,事情都堆到一起了,过段时间再回来写
第二章内容是浏览器安全,就是简单讲了一下同源策略,浏览器沙箱,还有恶意网址拦截。
第三章呢,讲的是XSS,先是用代码演示了三种类型的XSS,分别是反射型XSS、存储型XSS、基于DOM的XSS。然后是讲了XSS的进阶攻击,比如攻击者构造XSS Payload远程加载一个脚本来发起“Cookie劫持”。
……
……
……
其实我发现,如果只是总结一下,其实是没什么干货的,如果想要写干货,写成那种小白都能看懂学会的博客,会耗费很多时间,你要截图,还要有代码,还要组织语言等等。
似乎我现在就只是记录一下看书的过程,确实没什么用,那行吧,就不更了,不想浪费时间,也确实没时间。
读《白帽子讲Web安全》有感相关推荐
- 读《豆瓣的基础架构》有感
豆瓣整个基础架构可以粗略的分为在线和离线两大块.在线的部分和大部分网站类似:前面用LVS做HA,用Nginx做反向代理,形成负载均衡的一 层:应用层主要是做运算,将运算结果返回给前面的用户,DAE平台 ...
- 15读《算法基础》有感——决策树
15读<算法基础>有感--决策树 学完本学期的<算法设计与分析基础>,想对"决策树"做进一步的了解,于是读了Rod Stephens<算法基础> ...
- simplify逆向_Simplify-SDK-一种以代码形式管理基础架构的框架。
simplify逆向 When working with AWS services, you've got several choices to build and deploy your lambd ...
- View 5.1 重装上阵(4—基础架构篇)
从底层架构方面来看,VIEW 5.1最大的改进在于引入了Content-Based Read Cache(CBRC) 技术,大大降低了部署桌面虚拟化所带来的IOPS风暴,同时大大降低了对于存储的压力和 ...
- 聊聊 Kafka: Kafka 的基础架构
一.我与快递小哥的故事 一个很正常的一个工作日,老周正在忙着啪啪啪的敲代码,办公司好像安静的只剩敲代码的声音.突然,我的电话铃声响起了,顿时打破了这种安静. 我:喂,哪位? 快递小哥:我是顺丰快递的, ...
- 机器学习的中流砥柱:用于模型构建的基础架构工具有哪些?
本文转载自公众号"读芯术"(ID:AI_Discovery) 人工智能(AI)和机器学习(ML)已然"渗透"到了各行各业,企业们期待通过机器学习基础架构平台,以 ...
- 数据中心基础架构 22 年演进
01 前言 当今世界正处在信息技术(IT)创新的黄金时代.由机器学习.物联网和大规模可扩展应用支持的云计算.移动应用.大数据分析的巨大力量正在重塑商业和社会的方方面面.而这场IT复兴的中心,则是超大规 ...
- k86跟mysql_MySQL【基础架构】
一.前言 平时我们使用数据库,看到的通常都是一个整体. select * from T where ID=10: 对于上述语句,我们看到的只是输入一条语句,返回一个结果,却没有关注这条语句在 MySQ ...
- 译 | .NET Core 基础架构进化之路(一)
原文:Matt Mitchell 翻译:Edi Wang 随着 .NET Core 3.0 Preview 6 的推出,我们认为简要了解一下我们基础设施系统的历史以及过去一年左右所做的重大改进会很有用 ...
- 【mysql技术内幕1】mysql基础架构-一条SQL查询语句是如何执行的
文章目录 1 一条SQL查询语句是如何执行的 2 mysql体系结构 3 InnoDB存储引擎 4 总结 1 一条SQL查询语句是如何执行的 通常我们使用数据库,都是将数据库看成一个整体,我们的应 ...
最新文章
- 腾讯微博快速有效增加广播转播量的方法与技巧
- 119.CSMA/CD
- 学习编程,英语很重要!!
- python小球弹弹弹_python实现小球弹跳效果
- tshark删除pcap文件中与网关通信的数据包
- java经典英文面试题,Java-英文面试题-经典
- Newtonsoft.Json 方法使用()
- 判断输入的年月日是否合法
- error: component 'clippy' for target 'x86_64-unknown-linux-gnu' is unavailable for download 解决办法
- 怎样卸载deepin系统_win10系统双系统下卸载deepin的详细技巧
- 医药电商平台解决方案
- 深入理解Magento - 第五章 – Magento资源配置
- 剑指Offer_46 把数字翻译成字符串
- matlab画莫尔圆代码,EXCEL莫尔圆.xls
- 配置Java远程监控授权(Java Mission Control)
- Java 无需解压直接读取ZIP压缩包里的文件及内容
- 西门子数控系统的机床数据采集
- c语言计算时钟的夹角不用if,C语言学习笔记——计算时钟的夹角
- 《毕业生》系列之四 霸面天源迪科
- sourceTree 变基
热门文章
- android之Fragment(官网资料翻译),高级Android开发必看
- ASRT语音识别asrserver http协议测试专用客户端
- 微型计算机原理 考试试题,微机原理期末考试试题及答案
- dedecms采集侠问题
- 批发网商品采集API接口
- webQQ协议分析2018.11.9
- iozone磁盘读写测试工具的使用以及命令详解、下载(网站最详细讲解步骤)
- H3CSE路由-路由策略
- 转载 DOS/BAT批处理if exist else 语句的几种用法
- android小米手机变慢,小米手机出现变慢卡顿现象怎么办 教你如何让小米手机跑的更快的方法...