黑客精神:分享,自由,免费

安全人员:必定是在一个不断分解问题并且再对分解问题逐个解决。

安全问题:本质是信任问题。

安全过程:安全是一个持续的过程,这个过程中没有银弹。

安全要素:完整性 可用性 机密性(可审计性 不可抵赖性)

安全评估:资产登记划分 威胁分析 风险分析 确认解决方案

资产等级划分:首先我们要明白我们的要保护的目标是什么,核心的互联网安全问题就是数据的安全,划分资产等级也就是划分数据重要的安全程度,通过数据的重要程度来划分信任域。

威胁分析:我们把造成危害的来源称为威胁,把可能会出现的损失成为风险,风险一点是和损失联系在一起的,分为两个阶段分别是威胁建模和风险分析。

威胁模型:STRIDE(伪装 篡改 抵赖 信息泄露 拒绝服务 提升权限)

风险分析: DREAD(都分高中低三个等级) damage potential 获取完全验证权限执行管理员权限

reproducibility 攻击者可以任意再次攻击

exploitability 初学者短期掌握攻击方法

affected users 所有用户,默认配置,关键用户

discoverability 漏洞很显眼,攻击条件很容易获得)

优秀的安全方案特点:(secure by default)

1.能够有效解决问题

2.用户体验好
                
                3.高性能
                
                4.低耦合
                
                5.易于扩展和升级

原则: 最小权限原则 纵深防御原则 数据代码分离原则 不可预测性原则

总结:安全是一门朴素学问,也是一种平衡的艺术。

白帽子讲web安全笔记相关推荐

  1. 白帽子讲web安全笔记——XSS(二)

    XSS构造技巧 利用字符编码 由于采用GBK/GB2312编码   %c1\长两个字符组合在一起会成为一个新的Unicode,会变成一个字符从而绕过系统的安全检查. 绕过长度限制 假设下面的代码存在一 ...

  2. 白帽子讲web安全 ——读书笔记:术语和理论

    最近心血来潮,对安全这些略感兴趣,就买了本 白帽子讲web安全 看看 ,这里做个读书笔记吧!方便啥时候忘了再看一下. exploit--漏洞利用代码 Script kids --脚本小子,利用expl ...

  3. 白帽子讲WEB安全读书笔记(慢慢更新)

    道哥写的白帽子讲WEB安全的读书笔记 文章目录 2020.3.23 ◆ 前言 ◆ 第一篇 世界观安全 1.1 Web安全简史 >> 1.1.1 中国黑客简史 >> 1.1.2 ...

  4. 《白帽子讲Web安全》学习笔记

    一.为何要了解Web安全 最近加入新公司后,公司的官网突然被Google标记为了不安全的诈骗网站,一时间我们信息技术部门成为了众矢之的,虽然老官网并不是我们开发的(因为开发老官网的前辈们全都跑路了). ...

  5. 分享笔记1 之《白帽子讲web安全》

    分享笔记1 之<白帽子讲web安全> 目录 第一篇 世界观安全 第1章 我的安全世界观 2 1.1 web安全简史 2 1.1.1 中国黑客简史 2 1.1.2 黑客技术的发展历程 3 1 ...

  6. 白帽子讲Web安全(纪念版)

    作者:吴翰清 出版社: 电子工业出版社 品牌:博文视点 出版时间:2021-05-01 白帽子讲Web安全(纪念版)

  7. 白帽子讲web安全——认证与会话管理

    在看白帽子讲web安全,刚好看到认证与会话管理:也就是我们在平常渗透测试中遇到最多的登录页面,也即是用户名和密码认证方式,这是最常见的认证方式. 了解两个概念:认证和授权 1):认证的目的是为了认出用 ...

  8. 读《白帽子讲Web安全》之客户端脚本安全(一)

    2019独角兽企业重金招聘Python工程师标准>>> [第2章  浏览器安全] 1.同源策略(Same Origin Policy)是一种约定,它是浏览器最核心也最基本的安全功能. ...

  9. 读白帽子讲WEB安全,摘要

    读<白帽子讲WEB安全>摘要 文章目录 我的安全世界观 安全三要素-CIA 如何实施安全评估 白帽子兵法 客户端安全 浏览器安全 同源策略 浏览器沙箱 恶意网址拦截 高速发展的浏览器安全 ...

  10. 白帽子讲web安全之 浏览器安全

    白帽子讲web安全之 浏览器安全 (一些内容属于个人理解,如有错误请不吝指正) 同源策略 概念 所谓同源,一般是指域名.协议.端口相同.一般来说,只有同源的页面可以互相读取彼此的数据,或者改变彼此在浏 ...

最新文章

  1. 出现module ‘xgboost‘ has no attribute ‘DMatrix‘的临时解决方法
  2. python 字符串、列表和元祖之间的切换
  3. 044_定义类或对象
  4. java不可变量有哪些_5.Java变量
  5. mysql check exist_mysql – 使用多个EXIST进行查询
  6. ubuntu 中的qt怎么调用graphics.h_Qt 标准对话框之 QFileDialog
  7. CentOS设置文本启动方式(命令行模式)
  8. byte转化为Bitmap,防止内存溢出
  9. ORA-01555 原因与解决
  10. 面向对象中private理解
  11. MicroPython RP2040点灯实验
  12. 基于Java实现的毕业设计论文选题系统
  13. 回顾历史5次经济衰退时期:这一次可能会有何不同?
  14. codeforces 760B B. Frodo and pillows(二分)
  15. 同宇新材冲刺深交所:年营收9.47亿 张驰与苏世国为实控人
  16. PC机上常用 EDA 软件
  17. 苹果账户登录_iOS 13的通过 Apple 登录第三方应用
  18. 边城小猿——某二线城程序员15年的工作经历
  19. 越狱Season 1-Episode 9: Tweener
  20. WebDAV之葫芦儿·派盘 + PDF Expert

热门文章

  1. java udp发16进制数据_如何通过接口强制发送UDP数据包?
  2. matlab编制刚度矩阵,平面3节点三角形单元刚度矩阵matlab程序
  3. 【清风建模】数学建模论文写作小技巧
  4. 中国移动MM7 API用户手册(一)
  5. 三星android智能手机usb驱动程序,三星手机USB驱动
  6. 已经导入aspectjweaver maven坐标却无法import
  7. Mac OS Catalina 如何连接老旧的惠普 HP Laser Jet 1020 plus 打印机
  8. 在Windows系统上安装zookeeper
  9. 三款小工具:Resource Hacker、PE Explorer、SWF Converter
  10. led屏背后线路安装图解_LED屏安装工程施工方案