Secure By Default 原则

  • “Secure by Default”原则,也可以归纳为白名单、黑名单的思想。

黑名单、白名单

  • 尽可能使用白名单,不使用黑名单。例如:要做限制过滤的时候,只提供一份可信任的白名单列表,比提供一份不可信任的黑名单。
  • 场景:端口、服务器上装的软件、应用处理用户提交的富文本时,考虑到 XSS 的问题,需要做安全检查。

最小权限原则

  • Secure By Default 的另一层含义就是“最小权限原则”。最小权限原则也是安全设计的基本
    原则之一。最小权限原则要求系统只授予主体必要的权限,而不要过度授权,这样能有效地减
    少系统、网络、应用、数据库出错的机会。

纵深防御原则

  • 与 Secure by Default 一样,Defense in Depth(纵深防御)也是设计安全方案时的重要指导
    思想。
  • 纵深防御是要从不同的层面、不同的角度对系统做出整体的解决方案。就如“木桶理论”,能装多少水取决于短板。
  • 在常见的入侵案例中:利用 Web 应用的漏洞->攻击者先获得一个低权限的 webshell->低权限的 webshell 上传更多的文件->尝试执行更高权限的系统命令->尝试在服务器上提升权限为 root->进一步尝试渗透内网,如数据库服务器所在的网段。

转载于:https://www.cnblogs.com/greycdoer0/p/11203756.html

《白帽子讲Web安全》笔记 - 白帽子兵法相关推荐

  1. 白帽子讲web安全笔记——XSS(二)

    XSS构造技巧 利用字符编码 由于采用GBK/GB2312编码   %c1\长两个字符组合在一起会成为一个新的Unicode,会变成一个字符从而绕过系统的安全检查. 绕过长度限制 假设下面的代码存在一 ...

  2. 白帽子讲web安全 ——读书笔记:术语和理论

    最近心血来潮,对安全这些略感兴趣,就买了本 白帽子讲web安全 看看 ,这里做个读书笔记吧!方便啥时候忘了再看一下. exploit--漏洞利用代码 Script kids --脚本小子,利用expl ...

  3. 白帽子讲WEB安全读书笔记(慢慢更新)

    道哥写的白帽子讲WEB安全的读书笔记 文章目录 2020.3.23 ◆ 前言 ◆ 第一篇 世界观安全 1.1 Web安全简史 >> 1.1.1 中国黑客简史 >> 1.1.2 ...

  4. 《白帽子讲Web安全》学习笔记

    一.为何要了解Web安全 最近加入新公司后,公司的官网突然被Google标记为了不安全的诈骗网站,一时间我们信息技术部门成为了众矢之的,虽然老官网并不是我们开发的(因为开发老官网的前辈们全都跑路了). ...

  5. 分享笔记1 之《白帽子讲web安全》

    分享笔记1 之<白帽子讲web安全> 目录 第一篇 世界观安全 第1章 我的安全世界观 2 1.1 web安全简史 2 1.1.1 中国黑客简史 2 1.1.2 黑客技术的发展历程 3 1 ...

  6. 白帽子讲Web安全(纪念版)

    作者:吴翰清 出版社: 电子工业出版社 品牌:博文视点 出版时间:2021-05-01 白帽子讲Web安全(纪念版)

  7. 白帽子讲web安全——认证与会话管理

    在看白帽子讲web安全,刚好看到认证与会话管理:也就是我们在平常渗透测试中遇到最多的登录页面,也即是用户名和密码认证方式,这是最常见的认证方式. 了解两个概念:认证和授权 1):认证的目的是为了认出用 ...

  8. 读《白帽子讲Web安全》之客户端脚本安全(一)

    2019独角兽企业重金招聘Python工程师标准>>> [第2章  浏览器安全] 1.同源策略(Same Origin Policy)是一种约定,它是浏览器最核心也最基本的安全功能. ...

  9. 读白帽子讲WEB安全,摘要

    读<白帽子讲WEB安全>摘要 文章目录 我的安全世界观 安全三要素-CIA 如何实施安全评估 白帽子兵法 客户端安全 浏览器安全 同源策略 浏览器沙箱 恶意网址拦截 高速发展的浏览器安全 ...

  10. 白帽子讲web安全之 浏览器安全

    白帽子讲web安全之 浏览器安全 (一些内容属于个人理解,如有错误请不吝指正) 同源策略 概念 所谓同源,一般是指域名.协议.端口相同.一般来说,只有同源的页面可以互相读取彼此的数据,或者改变彼此在浏 ...

最新文章

  1. linux cpu拓扑查看工具 hwloc 简介
  2. FFmpeg音频编解码处理
  3. usaco2013 mar【懒惰的奶牛】
  4. SAP 电商云 Spartacus UI delivery mode 页面设计的结构分析
  5. Asp.net core应用在 Kubernetes上内存使用率过高问题分析
  6. 使用UAA OAuth2授权服务器–客户端和资源
  7. 单线程智能聊天机器人
  8. PostgreSQL在何处处理 sql查询之八
  9. 怎样把文件转成bt文件?
  10. 数据结构软件测试,资讯详情-java常见数据结构-柠檬班-自动化测试-软件测试培训-自学官网...
  11. jbox弹窗_Ztree结合jbox实现弹窗树结构
  12. Linux设置鼠标滑轮速度
  13. git第一次提交代码至远程仓库
  14. 共克时艰|链下思考系列之一区块链能做点什么
  15. 三角形外接球万能公式_三棱锥外接球万能公式 什么是旁心
  16. 旋转变换(一)旋转矩阵
  17. win10_3D画图软件文字粘贴时的BUG解决
  18. LabVIEW2016软件安装步骤
  19. XSLT实现XML文档转换成HTML文档
  20. 鸿蒙系统p50什么时候上市,华为P50Pro和MatePad Pro2什么时候上市 搭载鸿蒙系统吗...

热门文章

  1. AndroidStudio 单元测试及遇到的坑
  2. espcms_v5的/public/class_connector.php 对Cookies中输入参数ecisp_member_info过滤不当
  3. Unity之xbox手柄控制交互逻辑
  4. 计算机科学的核心素养,【计算机专业论文】计算机专业人才核心素养研究(共4124字)...
  5. Alternate Realities大赛作品引发的思考(一)——用通俗的语言解释shader的渲染过程
  6. nlp(贪心学院)——时序模型、HMM、隐变量模型、EM算法
  7. excel汇总数据之汇总多工作簿
  8. FLV视频和音频解析学习(四)
  9. Bully 算法原理
  10. cnpm安装失败问题