《白帽子讲web安全》第1章 我的安全世界观
一、基础知识
“Hacker“ :黑客
“exploit” :黑客们使用的漏洞利用代码
“Script kids”:脚本小子 ,只懂得编译别人的代码,自己没有动手能力
ACL:访问控制列表
XSS:跨站脚本攻击
安全问题的本质是信任问题,安全是一个持续的过程
二、安全三要素
安全三要素:机密性(Confidentiality)、完整性(Integrity)、可用性(Availability)。
机密性要求保护数据内容不能泄露,加密是实现机密性要求的常见手段。
完整性则要求保护数据内容是完整、没有被篡改的。常见的保证一致性的技术手段是数字签名。
可用性要求保护数据资源是“随需而得”。
三、如何实施安全评估
1.安全评估的过程(4个阶段):资产等级划分->威胁分析->风险分析->确认解决方案。
- 资产等级划分就是对数据做等级划分。互联网安全的核心问题,是数据安全的问题。
- 威胁分析就是找出所有的威胁,使用威胁建模去协助找出威胁。
- 威胁(Threat)是可能造成危害的来源;风险(Risk)是可能会出现的损失。
>威胁建模方法:STRIDE模型(6个单词首字母缩写)
威胁 |
定义 |
对应的安全属性 |
Spoofing(伪装) |
冒充他人身份 |
认证 |
Tampering(篡改) |
修改数据或代码 |
完整性 |
Repudiation(抵赖) |
否认做过的事情 |
不可抵赖性 |
InformationDisclosure(信息泄露) |
机密信息泄露 |
机密性 |
Denial of Service (拒绝服务) |
拒绝服务 |
可用性 |
Elevation of Privilege (提升权限) |
未经授权获得许可 |
授权 |
>风险分析:DREAD模型(5个单词首字母缩写)
等级 |
高(3) |
中(2) |
低(3) |
Damage Potential |
获得完全验证权限;执行管理员操作;非法上传文件 |
泄露敏感信息 |
泄露其他信息 |
Reproducibility |
攻击者可以随意再次攻击 |
攻击者可以重复攻击,但有时间限制 |
攻击者很难重复攻击过程 |
Exploitability |
初学者在短期内能掌握攻击方法 |
熟练的攻击者才能完成这次攻击 |
漏洞利用条件非常苛刻 |
Affected Users |
所有用户,默认配置,关键用户 |
部分用户,非默认配置 |
极少数用户,匿名用户 |
Discoverablity |
漏洞很显眼,攻击条件很容易获得 |
在私有区域,部分人能看到,需要深入挖掘漏洞 |
发现该漏洞极其困难 |
Risk = Probability * Damage Potential
2.一个优秀的安全方案应该具备以下特点:
- 能够有效解决问题;
- 用户体验好;
- 高性能;
- 低耦合;
- 易于扩展和升级。
四、白帽子兵法
白帽子兵法:Secure By Default原则、纵深防御原则(Defense in Depth)、数据与代码分离原则、不可预测性原则。
Secure By Default原则:是总则,①黑名单、白名单:黑名单是禁止的名单,白名单是只允许的名单;②最小权限原则:只授予主体必要的权限,不要过度授权。
纵深防御原则(Defense in Depth):更全面更正确的看问题,含义包括①要在不同层面、不同方面实施安全方案,避免出现遗漏,不同方案之间相互配合,构成一个整体;②要在正确的地方做正确的事情。
数据与代码分离原则:从漏洞成因上看问题,广泛适用于由于“注入”而引发安全问题的场景。
不可预测性原则:从克服攻击的角度看问题。
【安全是一门朴素的学问,也是一种平衡的艺术】
五、附录
---第一篇 世界安全观
---第1章 我的安全世界观
---第二篇 客户端脚本安全
---第2章 浏览器安全
---第3章 跨站脚本攻击(XSS)
---第4章 跨站点请求伪造(CSRF)
---第5章 点击劫持(ClickJacking)
---第6章 HTML 5安全
---第三篇 服务器端应用安全
---第7章 注入攻击
---第8章 文件上传漏洞
---第9章 认证与会话管理
---第10章 访问控制
---第11章 加密算法与随机数
---第12章 Web框架安全
---第13章 应用层拒绝服务攻击
---第14章 PHP安全
---第15章 Web Server 配置安全
---第四篇 互联网公司安全运营
---第16章 互联网业务安全
---第17章 安全开发流程(SDL)
---第18章 安全运营
《白帽子讲web安全》第1章 我的安全世界观相关推荐
- 【白帽子讲Web安全】第二章 浏览器安全
文章目录 2.1 同源策略 2.2 浏览器沙箱 2.3 恶意网站拦截 2.4 高速发展的浏览器安全 2.1 同源策略 1.浏览器的同源策略,限制了来自不同源的"document"或 ...
- 白帽子讲web安全 | 第9章 认证与会话管理
- 读白帽子讲WEB安全,摘要
读<白帽子讲WEB安全>摘要 文章目录 我的安全世界观 安全三要素-CIA 如何实施安全评估 白帽子兵法 客户端安全 浏览器安全 同源策略 浏览器沙箱 恶意网址拦截 高速发展的浏览器安全 ...
- 白帽子讲web安全——认证与会话管理
在看白帽子讲web安全,刚好看到认证与会话管理:也就是我们在平常渗透测试中遇到最多的登录页面,也即是用户名和密码认证方式,这是最常见的认证方式. 了解两个概念:认证和授权 1):认证的目的是为了认出用 ...
- 读《白帽子讲Web安全》之客户端脚本安全(一)
2019独角兽企业重金招聘Python工程师标准>>> [第2章 浏览器安全] 1.同源策略(Same Origin Policy)是一种约定,它是浏览器最核心也最基本的安全功能. ...
- 白帽子讲WEB安全读书笔记(慢慢更新)
道哥写的白帽子讲WEB安全的读书笔记 文章目录 2020.3.23 ◆ 前言 ◆ 第一篇 世界观安全 1.1 Web安全简史 >> 1.1.1 中国黑客简史 >> 1.1.2 ...
- 在学习web安全的小白看过来,这本《白帽子讲web安全》强烈推荐,必读!(附PDF)
Web是互联网的核心,是未来云计算和移动互联网的最佳载体,因此Web安全也是互联网公司安全业务中最重要的组成部分. 前排提醒:文末有pdf领取 下面来看看几种常见的web漏洞: 1.XSS跨站脚本攻击 ...
- 《白帽子讲Web安全 -- 纪念版 吴翰清著》读后随笔
<白帽子讲Web安全 – 纪念版 吴翰清著> 该书大多数内容举例大多数是2010年左右的 相隔11年左右, 但是内容并没有被淘汰, 感觉很适合入门, 因为内容详细且比较基础 当然, 这只是 ...
- 学习web安全,强烈推荐这本《白帽子讲web安全》!
Web是互联网的核心,是未来云计算和移动互联网的最佳载体,因此Web安全也是互联网公司安全业务中最重要的组成部分. 下面来看看几种常见的web漏洞: 1.XSS跨站脚本攻击 XSS跨站脚本攻击,通常指 ...
- 分享笔记1 之《白帽子讲web安全》
分享笔记1 之<白帽子讲web安全> 目录 第一篇 世界观安全 第1章 我的安全世界观 2 1.1 web安全简史 2 1.1.1 中国黑客简史 2 1.1.2 黑客技术的发展历程 3 1 ...
最新文章
- Facebook将React的许可改为MIT
- 使用 openssl反弹加密 shell
- TripleO (openstack)
- 1-Alternative Boot Flows
- 论文笔记 《Selective Search for Object Recognition》
- pandas中inplace_pandas中inplace参数
- 【nodejs原理源码杂记(8)】Timer模块与基于二叉堆的定时器
- html中hr的各种样式使用
- Promise/A+规范
- jde多目标_《和平精英》PEL职业联赛S3赛季:DKG战队获第四周周冠军,JDE“逆风翻盘”...
- 开课吧Java课堂:线程间是如何实现通信
- thinkphp5 mysql加1_ThinkPHP5.1的数据库链接和增删改查
- 织梦搜索结果增加dede:type、dede:arclist、dede:channelartlist、dede:tag等标签支持
- C++小游戏 双人贪吃蛇
- svn往分支提代码_SVN建立分支和合并代码
- 基于java的校园兼职管理系统_基于JAVA WEB的大学生兼职管理系统的分析与设计
- 整车CAN网络拓扑图
- 求梯形面积python
- 浅谈四层交换机技术原理
- 5行代码提升时间序列预测,都有用!
热门文章
- kasp技术原理_KASP——基因分型研究者指尖跳跃的珠链
- 新商用密码产品认证梳理——标准和材料对比
- orcad16.3下载
- 粒子群算法(PSO)光伏发电 MPPT实现多峰值寻优,阴影遮蔽光伏发电算法 使用s函数编写粒子群算法,阴影遮蔽,实现多峰值寻优
- 【笔记整理】电磁场复习——麦克斯韦四个方程组
- 解决 No converter found for return value of type 的问题
- 2021年危险化学品经营单位安全管理人员考试报名及危险化学品经营单位安全管理人员作业考试题库
- maven和sbt构建项目及相关国内源repositorie配置和不支持cdh包解决方案
- coreplayer n79下载_coreplayer
- 交互设计沉思录:顶尖设计专家Jon Kolko的经验与心得(原书第2版)