白帽子讲web安全笔记
黑客精神:分享,自由,免费
安全人员:必定是在一个不断分解问题并且再对分解问题逐个解决。
安全问题:本质是信任问题。
安全过程:安全是一个持续的过程,这个过程中没有银弹。
安全要素:完整性 可用性 机密性(可审计性 不可抵赖性)
安全评估:资产登记划分 威胁分析 风险分析 确认解决方案
资产等级划分:首先我们要明白我们的要保护的目标是什么,核心的互联网安全问题就是数据的安全,划分资产等级也就是划分数据重要的安全程度,通过数据的重要程度来划分信任域。
威胁分析:我们把造成危害的来源称为威胁,把可能会出现的损失成为风险,风险一点是和损失联系在一起的,分为两个阶段分别是威胁建模和风险分析。
威胁模型:STRIDE(伪装 篡改 抵赖 信息泄露 拒绝服务 提升权限)
风险分析: DREAD(都分高中低三个等级) damage potential 获取完全验证权限执行管理员权限
reproducibility 攻击者可以任意再次攻击
exploitability 初学者短期掌握攻击方法
affected users 所有用户,默认配置,关键用户
discoverability 漏洞很显眼,攻击条件很容易获得)
优秀的安全方案特点:(secure by default)
1.能够有效解决问题
2.用户体验好
3.高性能
4.低耦合
5.易于扩展和升级
原则: 最小权限原则 纵深防御原则 数据代码分离原则 不可预测性原则
总结:安全是一门朴素学问,也是一种平衡的艺术。
白帽子讲web安全笔记相关推荐
- 白帽子讲web安全笔记——XSS(二)
XSS构造技巧 利用字符编码 由于采用GBK/GB2312编码 %c1\长两个字符组合在一起会成为一个新的Unicode,会变成一个字符从而绕过系统的安全检查. 绕过长度限制 假设下面的代码存在一 ...
- 白帽子讲web安全 ——读书笔记:术语和理论
最近心血来潮,对安全这些略感兴趣,就买了本 白帽子讲web安全 看看 ,这里做个读书笔记吧!方便啥时候忘了再看一下. exploit--漏洞利用代码 Script kids --脚本小子,利用expl ...
- 白帽子讲WEB安全读书笔记(慢慢更新)
道哥写的白帽子讲WEB安全的读书笔记 文章目录 2020.3.23 ◆ 前言 ◆ 第一篇 世界观安全 1.1 Web安全简史 >> 1.1.1 中国黑客简史 >> 1.1.2 ...
- 《白帽子讲Web安全》学习笔记
一.为何要了解Web安全 最近加入新公司后,公司的官网突然被Google标记为了不安全的诈骗网站,一时间我们信息技术部门成为了众矢之的,虽然老官网并不是我们开发的(因为开发老官网的前辈们全都跑路了). ...
- 分享笔记1 之《白帽子讲web安全》
分享笔记1 之<白帽子讲web安全> 目录 第一篇 世界观安全 第1章 我的安全世界观 2 1.1 web安全简史 2 1.1.1 中国黑客简史 2 1.1.2 黑客技术的发展历程 3 1 ...
- 白帽子讲Web安全(纪念版)
作者:吴翰清 出版社: 电子工业出版社 品牌:博文视点 出版时间:2021-05-01 白帽子讲Web安全(纪念版)
- 白帽子讲web安全——认证与会话管理
在看白帽子讲web安全,刚好看到认证与会话管理:也就是我们在平常渗透测试中遇到最多的登录页面,也即是用户名和密码认证方式,这是最常见的认证方式. 了解两个概念:认证和授权 1):认证的目的是为了认出用 ...
- 读《白帽子讲Web安全》之客户端脚本安全(一)
2019独角兽企业重金招聘Python工程师标准>>> [第2章 浏览器安全] 1.同源策略(Same Origin Policy)是一种约定,它是浏览器最核心也最基本的安全功能. ...
- 读白帽子讲WEB安全,摘要
读<白帽子讲WEB安全>摘要 文章目录 我的安全世界观 安全三要素-CIA 如何实施安全评估 白帽子兵法 客户端安全 浏览器安全 同源策略 浏览器沙箱 恶意网址拦截 高速发展的浏览器安全 ...
- 白帽子讲web安全之 浏览器安全
白帽子讲web安全之 浏览器安全 (一些内容属于个人理解,如有错误请不吝指正) 同源策略 概念 所谓同源,一般是指域名.协议.端口相同.一般来说,只有同源的页面可以互相读取彼此的数据,或者改变彼此在浏 ...
最新文章
- 出现module ‘xgboost‘ has no attribute ‘DMatrix‘的临时解决方法
- python 字符串、列表和元祖之间的切换
- 044_定义类或对象
- java不可变量有哪些_5.Java变量
- mysql check exist_mysql – 使用多个EXIST进行查询
- ubuntu 中的qt怎么调用graphics.h_Qt 标准对话框之 QFileDialog
- CentOS设置文本启动方式(命令行模式)
- byte转化为Bitmap,防止内存溢出
- ORA-01555 原因与解决
- 面向对象中private理解
- MicroPython RP2040点灯实验
- 基于Java实现的毕业设计论文选题系统
- 回顾历史5次经济衰退时期:这一次可能会有何不同?
- codeforces 760B B. Frodo and pillows(二分)
- 同宇新材冲刺深交所:年营收9.47亿 张驰与苏世国为实控人
- PC机上常用 EDA 软件
- 苹果账户登录_iOS 13的通过 Apple 登录第三方应用
- 边城小猿——某二线城程序员15年的工作经历
- 越狱Season 1-Episode 9: Tweener
- WebDAV之葫芦儿·派盘 + PDF Expert
热门文章
- java udp发16进制数据_如何通过接口强制发送UDP数据包?
- matlab编制刚度矩阵,平面3节点三角形单元刚度矩阵matlab程序
- 【清风建模】数学建模论文写作小技巧
- 中国移动MM7 API用户手册(一)
- 三星android智能手机usb驱动程序,三星手机USB驱动
- 已经导入aspectjweaver maven坐标却无法import
- Mac OS Catalina 如何连接老旧的惠普 HP Laser Jet 1020 plus 打印机
- 在Windows系统上安装zookeeper
- 三款小工具:Resource Hacker、PE Explorer、SWF Converter
- led屏背后线路安装图解_LED屏安装工程施工方案