一、web安全简史

1、不想拿“root”的黑客不是好黑客

2、在黑客的世界里,有的黑客,精通计算机技术,能自己挖掘漏洞,并编写exp;而有的黑客只懂得编译别人的代码,自己没有动手能力,这种黑客被称为脚本小子。在现实世界里,真正造成破坏的往往是脚本小子。

3、中国黑客的发展分为三个阶段:启蒙阶段、黄金阶段、黑暗阶段。黑暗阶段从几年前开始一直延续到今天,也许还将继续下去。

4、黑客技术:早期以系统软件居多,攻击系统软件往往能直接获取root权限;web1.0时代:服务器端端脚本安全问题;web2.0时代:转向客户端,即用户和浏览器。

二、黑帽子,白帽子

5、白帽子必须找到系统的所有弱点,不能有遗漏,才能保证系统不会出现问题;黑帽子只须找到系统的一个弱点,就可以达到入侵系统的目的。

6、破坏永远比建设容易。白帽子通过设计安全方案可以化被动为主动。

7、“最大的漏洞就是人”、“No Patch For Stupid”-没有办法打补丁。

8、白帽子和黑帽子就像一场军备竞赛,如果新技术(白帽子)不在一开始就考虑安全设计的话,防御技术就必然会落后于攻击技术,导致历史不断重复。

三、返璞归真,揭秘安全的本质

9、安全的本质是信任的问题,我们设计安全方案的基础是建立在信任关系上的,我们必须相信一些东西,划分出信任域和信任边界,一旦我们作为决策依据(信任边界)的条件被打破,被绕过,那么就会导致安全假设的前提条件不再可靠,变成一个伪命题。因此,把握住信任条件的度,使其恰到好处,正是设计安全方案的难点所在,也是这门安全学问的艺术魅力所在。

四、破除迷信,没有银弹

10、安全是一个持续的过程,不可能一劳永逸,那都是自己骗自己。

11、黑客们不断研究和寻找新的攻击技术,作为防御的一方,没有理由不持续跟进。

五、安全三要素

12、机密性:数据内容不能泄露,加密是实现机密性要求的常见手段

13、完整性:保证数据内容是完整、没有被篡改的。数字签名是常见的技术手段。

14、可用性:要求保护资源是随需而得,常见的攻击手段是dos-拒绝服务攻击。

六、安全评估

15、资产等级划分——威胁分析——风险分析——确认解决方案,一般来说,按照这个过程来实施安全评估,在结果上不会出现较大的问题。这个实施的过程是层层递进的,前后之间有因果关系。

16、资产等级划分:在互联网基础设施已经比较完善的今天,互联网的核心其实是由用户数据驱动的,所以互联网安全问题的核心是数据安全的问题

17、威胁分析阶段往往由于在设计安全解决方案时确定攻击面时想的不够全面从而导致攻击者利用事先完全没有想到的漏洞。

18、威胁分析可通过头脑风暴、威胁建模(STRIDE)进行

19、STRIDE

S 仿冒  ——认证

T 篡改  ——完整性

R 抵赖 ——防抵赖

I 信息泄漏 ——— 机密性

D拒绝服务——可用性

E 特权提升——授权

20、风险分析-DREAD模型

21、一个好的安全方案不能牺牲业务的一些易用性或者性能,从产品角度来说,安全也应该是产品的一种属性。一个从未考虑过安全的产品,至少是不完整的。

22、好的安全方案应该具备以下特点:

能够有效解决问题

用户体验好

高性能

低耦合(大白话讲解高内聚低耦合)

易于扩展与升级

七、白帽子兵法

23、Secure by default原则-黑名单、白名单(更安全但不是绝对安全)、最小权限原则(需要认真梳理业务所需要的权限)、纵深防御原则(多层次防御)、数据与代码分离原则、不可预测性原则(无法修复code,那么就使攻击方法无效)

24、安全是一门朴素的学问,也是一种平衡的艺术。无论是传统安全,还是互联网安全,其本质是相同的,之后无论遇到任何安全问题(不仅仅局限于web或互联网安全),都会无往而不利,因为我们已经真正的懂得了如何用安全的眼光来看待这个世界!

白帽子讲Web安全——世界观安全相关推荐

  1. 读白帽子讲WEB安全,摘要

    读<白帽子讲WEB安全>摘要 文章目录 我的安全世界观 安全三要素-CIA 如何实施安全评估 白帽子兵法 客户端安全 浏览器安全 同源策略 浏览器沙箱 恶意网址拦截 高速发展的浏览器安全 ...

  2. 白帽子讲WEB安全读书笔记(慢慢更新)

    道哥写的白帽子讲WEB安全的读书笔记 文章目录 2020.3.23 ◆ 前言 ◆ 第一篇 世界观安全 1.1 Web安全简史 >> 1.1.1 中国黑客简史 >> 1.1.2 ...

  3. 在学习web安全的小白看过来,这本《白帽子讲web安全》强烈推荐,必读!(附PDF)

    Web是互联网的核心,是未来云计算和移动互联网的最佳载体,因此Web安全也是互联网公司安全业务中最重要的组成部分. 前排提醒:文末有pdf领取 下面来看看几种常见的web漏洞: 1.XSS跨站脚本攻击 ...

  4. 《白帽子讲Web安全》读后感 —— 对道哥的致敬

    <白帽子讲Web安全>读后感 --Deep Blue (一个安全小兵的感受) 这是一篇作业:这是一篇读后感:这是一篇记录安全的感悟:这是一篇对道哥的敬仰:这是我安全启蒙的钥匙...... ...

  5. 《白帽子讲Web安全 -- 纪念版 吴翰清著》读后随笔

    <白帽子讲Web安全 – 纪念版 吴翰清著> 该书大多数内容举例大多数是2010年左右的 相隔11年左右, 但是内容并没有被淘汰, 感觉很适合入门, 因为内容详细且比较基础 当然, 这只是 ...

  6. 学习web安全,强烈推荐这本《白帽子讲web安全》!

    Web是互联网的核心,是未来云计算和移动互联网的最佳载体,因此Web安全也是互联网公司安全业务中最重要的组成部分. 下面来看看几种常见的web漏洞: 1.XSS跨站脚本攻击 XSS跨站脚本攻击,通常指 ...

  7. 分享笔记1 之《白帽子讲web安全》

    分享笔记1 之<白帽子讲web安全> 目录 第一篇 世界观安全 第1章 我的安全世界观 2 1.1 web安全简史 2 1.1.1 中国黑客简史 2 1.1.2 黑客技术的发展历程 3 1 ...

  8. 白帽子讲Web安全(纪念版)

    作者:吴翰清 出版社: 电子工业出版社 品牌:博文视点 出版时间:2021-05-01 白帽子讲Web安全(纪念版)

  9. 白帽子讲web安全——认证与会话管理

    在看白帽子讲web安全,刚好看到认证与会话管理:也就是我们在平常渗透测试中遇到最多的登录页面,也即是用户名和密码认证方式,这是最常见的认证方式. 了解两个概念:认证和授权 1):认证的目的是为了认出用 ...

  10. 读《白帽子讲Web安全》之客户端脚本安全(一)

    2019独角兽企业重金招聘Python工程师标准>>> [第2章  浏览器安全] 1.同源策略(Same Origin Policy)是一种约定,它是浏览器最核心也最基本的安全功能. ...

最新文章

  1. 使用fontTools库
  2. RESTful到底是什么玩意??
  3. 不要把HANA跟BW混为一谈
  4. EBS并发管理器启动失败,系统暂挂,在重置计数器之前修复管理程序
  5. 提携数学天才陶哲轩的伯乐是谁?
  6. 开发指南专题十六:JEECG微云快速开发平台Excel导出
  7. react-github案例
  8. github上传时出现error: src refspec master does not match any解决办法
  9. 随想录(由自定义打印函数想到的)
  10. android表情开源,Android可能很快就会获得新的表情符号 而无需等待操作系统更新...
  11. JSK-16 爬楼梯【基础】
  12. Julia: 通过简单实践理解机器学习概念(flux.jl)
  13. Metronome节拍器
  14. [深度学习 - 实战项目] yoloV5人脸侦测arcFace人脸识别silentFace静态活体检测
  15. 01_配置yum源-银河麒麟V10(Kylin Linux Advanced Server V10 (Tercel))操作系统
  16. 工赋开发者社区 | 抛弃 Google,Debian 改将 DuckDuckGo 作为默认搜索引擎
  17. CSS如何实现垂直水平居中**********?
  18. Elastic Weight Consolidation(EWC) for Life long Learning
  19. C++ 九阴真经之单例模式
  20. DevOps团队如何为网络星期一做准备

热门文章

  1. android底部导航栏
  2. Cadence每日一学_01| Cadence、Allegro、OrCAD都是什么东东?
  3. 汇编语言中xor指令_常用的汇编指令
  4. 公文签收 php,公文收发管理系统
  5. 职称计算机 将计算机broad_1下的e盘映射为k盘网络驱动器,职称计算机考试(网络基础)试题及答案操作..doc...
  6. 2021年危险化学品经营单位安全管理人员新版试题及危险化学品经营单位安全管理人员模拟考试系统
  7. windows server 2012 r2 *** 服务器搭建
  8. 为何架设好服务器不显示补丁,WSUS补丁服务器分发后,客户端不在管理控制台显示 - winServer论坛 - 51CTO技术论坛_中国领先的IT技术社区...
  9. 2018年了,Windows2000还能用吗?
  10. python 入门教程