《白帽子讲Web安全》笔记 - 白帽子兵法
Secure By Default 原则
- “Secure by Default”原则,也可以归纳为白名单、黑名单的思想。
黑名单、白名单
- 尽可能使用白名单,不使用黑名单。例如:要做限制过滤的时候,只提供一份可信任的白名单列表,比提供一份不可信任的黑名单。
- 场景:端口、服务器上装的软件、应用处理用户提交的富文本时,考虑到 XSS 的问题,需要做安全检查。
最小权限原则
- Secure By Default 的另一层含义就是“最小权限原则”。最小权限原则也是安全设计的基本
原则之一。最小权限原则要求系统只授予主体必要的权限,而不要过度授权,这样能有效地减
少系统、网络、应用、数据库出错的机会。
纵深防御原则
- 与 Secure by Default 一样,Defense in Depth(纵深防御)也是设计安全方案时的重要指导
思想。 - 纵深防御是要从不同的层面、不同的角度对系统做出整体的解决方案。就如“木桶理论”,能装多少水取决于短板。
- 在常见的入侵案例中:利用 Web 应用的漏洞->攻击者先获得一个低权限的 webshell->低权限的 webshell 上传更多的文件->尝试执行更高权限的系统命令->尝试在服务器上提升权限为 root->进一步尝试渗透内网,如数据库服务器所在的网段。
转载于:https://www.cnblogs.com/greycdoer0/p/11203756.html
《白帽子讲Web安全》笔记 - 白帽子兵法相关推荐
- 白帽子讲web安全笔记——XSS(二)
XSS构造技巧 利用字符编码 由于采用GBK/GB2312编码 %c1\长两个字符组合在一起会成为一个新的Unicode,会变成一个字符从而绕过系统的安全检查. 绕过长度限制 假设下面的代码存在一 ...
- 白帽子讲web安全 ——读书笔记:术语和理论
最近心血来潮,对安全这些略感兴趣,就买了本 白帽子讲web安全 看看 ,这里做个读书笔记吧!方便啥时候忘了再看一下. exploit--漏洞利用代码 Script kids --脚本小子,利用expl ...
- 白帽子讲WEB安全读书笔记(慢慢更新)
道哥写的白帽子讲WEB安全的读书笔记 文章目录 2020.3.23 ◆ 前言 ◆ 第一篇 世界观安全 1.1 Web安全简史 >> 1.1.1 中国黑客简史 >> 1.1.2 ...
- 《白帽子讲Web安全》学习笔记
一.为何要了解Web安全 最近加入新公司后,公司的官网突然被Google标记为了不安全的诈骗网站,一时间我们信息技术部门成为了众矢之的,虽然老官网并不是我们开发的(因为开发老官网的前辈们全都跑路了). ...
- 分享笔记1 之《白帽子讲web安全》
分享笔记1 之<白帽子讲web安全> 目录 第一篇 世界观安全 第1章 我的安全世界观 2 1.1 web安全简史 2 1.1.1 中国黑客简史 2 1.1.2 黑客技术的发展历程 3 1 ...
- 白帽子讲Web安全(纪念版)
作者:吴翰清 出版社: 电子工业出版社 品牌:博文视点 出版时间:2021-05-01 白帽子讲Web安全(纪念版)
- 白帽子讲web安全——认证与会话管理
在看白帽子讲web安全,刚好看到认证与会话管理:也就是我们在平常渗透测试中遇到最多的登录页面,也即是用户名和密码认证方式,这是最常见的认证方式. 了解两个概念:认证和授权 1):认证的目的是为了认出用 ...
- 读《白帽子讲Web安全》之客户端脚本安全(一)
2019独角兽企业重金招聘Python工程师标准>>> [第2章 浏览器安全] 1.同源策略(Same Origin Policy)是一种约定,它是浏览器最核心也最基本的安全功能. ...
- 读白帽子讲WEB安全,摘要
读<白帽子讲WEB安全>摘要 文章目录 我的安全世界观 安全三要素-CIA 如何实施安全评估 白帽子兵法 客户端安全 浏览器安全 同源策略 浏览器沙箱 恶意网址拦截 高速发展的浏览器安全 ...
- 白帽子讲web安全之 浏览器安全
白帽子讲web安全之 浏览器安全 (一些内容属于个人理解,如有错误请不吝指正) 同源策略 概念 所谓同源,一般是指域名.协议.端口相同.一般来说,只有同源的页面可以互相读取彼此的数据,或者改变彼此在浏 ...
最新文章
- linux cpu拓扑查看工具 hwloc 简介
- FFmpeg音频编解码处理
- usaco2013 mar【懒惰的奶牛】
- SAP 电商云 Spartacus UI delivery mode 页面设计的结构分析
- Asp.net core应用在 Kubernetes上内存使用率过高问题分析
- 使用UAA OAuth2授权服务器–客户端和资源
- 单线程智能聊天机器人
- PostgreSQL在何处处理 sql查询之八
- 怎样把文件转成bt文件?
- 数据结构软件测试,资讯详情-java常见数据结构-柠檬班-自动化测试-软件测试培训-自学官网...
- jbox弹窗_Ztree结合jbox实现弹窗树结构
- Linux设置鼠标滑轮速度
- git第一次提交代码至远程仓库
- 共克时艰|链下思考系列之一区块链能做点什么
- 三角形外接球万能公式_三棱锥外接球万能公式 什么是旁心
- 旋转变换(一)旋转矩阵
- win10_3D画图软件文字粘贴时的BUG解决
- LabVIEW2016软件安装步骤
- XSLT实现XML文档转换成HTML文档
- 鸿蒙系统p50什么时候上市,华为P50Pro和MatePad Pro2什么时候上市 搭载鸿蒙系统吗...
热门文章
- AndroidStudio 单元测试及遇到的坑
- espcms_v5的/public/class_connector.php 对Cookies中输入参数ecisp_member_info过滤不当
- Unity之xbox手柄控制交互逻辑
- 计算机科学的核心素养,【计算机专业论文】计算机专业人才核心素养研究(共4124字)...
- Alternate Realities大赛作品引发的思考(一)——用通俗的语言解释shader的渲染过程
- nlp(贪心学院)——时序模型、HMM、隐变量模型、EM算法
- excel汇总数据之汇总多工作簿
- FLV视频和音频解析学习(四)
- Bully 算法原理
- cnpm安装失败问题