安全世界观

最新推荐文章于 2022-07-18 17:29:39 发布
最新推荐文章于 2022-07-18 17:29:39 发布
阅读量3.9k 收藏
点赞数 1
分类专栏: web安全 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Naive_boy00/article/details/49147647
版权

安全师的核心竞争力不在于他拥有多少0day,掌握多少种安全技术,而是在于他对安全理解的深度,以及由此引申的看待安全问题的角度和高度。安全是一门朴素的学问,也是一种平衡的艺术。—道哥《白帽子讲web安全》

安全的本质

安全问题的本质是信任的问题。
  1. 安全方案设计的基础是建立在信任关系上的,如果否定一切那么安全也就无从谈起。
  2. 一旦信任被打破、被绕过,安全问题就会发生。
    因此要把握信任的度。
安全是一个持续的过程

安全是一个持续的过程 ,没有绝对完美、一劳永逸的方案!

安全三要素
  1. 机密性
  2. 完整性
  3. 可用性
安全评估

资产等级划分–>威胁分析–>风险分析–>确认解决方案

资产等级划分(明确要保护的目标)

互联网安全的核心是数据的安全。通过资产等级的划分来知道我们要保护的是什么,并以此从数据交互逻辑来划分出信用域和信任边界。

威胁分析(不遗漏地找出威胁)

STRIDE模型…

风险分析(漏洞的危害)

DREAD模型…

设计安全方案

安全应该是产品的一种属性,一个没有考虑过安全的产品是不完整的。优秀的安全方案应该具备以下特点:

  1. 能够有效的解决问题
  2. 用户体验好
  3. 高性能
  4. 低耦合
  5. 易于扩展与升级
白帽兵法
Secure By Default原则(总则)
  1. 黑白名单
  2. 最小权限原则
纵深防御原则(全面正确地看待问题)
数据与代码分离原则(漏洞成因)
不可预测性原则(克服攻击方法)
Naive_boy00
关注
专栏目录
一、浅谈作者的安全世界观
伊遥城垂泪挽青衣的博客
03-02 268
1、安全问题的本质是信任的问题。    从高可信域进入低可信域,不需要身份鉴别,获取信任,但是从低可信域进入高可信域就需要获取信任,打个比方,乘飞机过安检,进入需要安全检查,但是从机场出来就不需要。2、安全是一个持续的过程。    安全产品本身也是需要一个新陈代谢的过程,新的0day漏洞每天都会出现,安全产品升级和更新就需要随时保持更新,否则就会被淘汰。一个有活力的产品总是会不断地改进自身,出色的...
《白帽子讲web安全》我的安全世界观
weixin_49472648的博客
03-21 3652
文章目录我的安全世界观前言安全工程师的核心竞争力白帽子的使命现状里程碑安全的本质安全三要素如何防范安全问题?安全评估步骤资产等级划分:威胁分析(确定攻击面):风险分析:设计安全方案白帽子兵法一、Secure By Default 原则二、Defense in Depth(纵深防御) 原则三、数据与代码分离原则四、不可预测性原则总结 我的安全世界观 前言 互联网本来是安全的,自从有了研究安全的人以后,就变得不安全了。 漏洞只是对破坏性功能的一个统称而已。 我们定义一个功能是否是漏洞,只看后果,而不应该看过
「第一章」安全世界观
hacckjacking
01-22 357
批注 [……] 表示他人、自己、网络批注 参考资料来源于 * 书中批注 * CSDN * GitHub * Google * 维基百科 * YouTube * MDN Web Docs 由于编写过程中无法记录所有的URL 所以如需原文,请自行查询 {……} 重点内容 *……* 表示先前提到的内容,不赘述 「第一篇」世界观安全 「0.6本书结构」 本篇是签署的纲领,在此篇中阐述了一些安全的历史(本笔记并未提出)..
web安全问题-1.安全世界观
wuxiaobingandbob的专栏
07-31 958
http://coderbee.net/index.php/readingnote/20130722/309   白帽子讲web安全-1.安全世界观 摘记 1 条回复 一些词汇 exploit: 黑客使用的漏洞利用代码。 黑客精神: open, free, share . 安全世界观 黑帽子、白帽子 白帽子: 指那些精通安全技术,工作在反黑客领域的专家们。 黑帽子: 指
安全世界观 | 常见WEB安全问题及防御策略汇总
架构精进之路
03-13 752
1、安全世界观继上一篇:我用一个小小的开放设计题,干掉了40%的面试候选人聊到了Web安全之后,好多朋友也在关注这个话题,今天特意再写一篇。安全世界观一词是《白帽子讲Web安全》一书的...
【白帽子讲Web安全】第一章 我的安全世界观
xtcc的博客
07-18 2299
指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。实际上,缓冲区溢出,也可以认为是程序违背了这一原则的后果——程序在栈或者堆中,将用户数据当做代码执行,混淆了代码与数据的边界,从而导致安全问题的发生。要求系统只授予主体必要的权限,而不要过度授权,这样能有效地减少系统,网络,应用,数据库出错的机会。...
白帽子讲Web安全——世界观安全
独活
11-14 6252
一、web安全简史 1、不想拿“root”的黑客不是好黑客 2、在黑客的世界里,有的黑客,精通计算机技术,能自己挖掘漏洞,并编写exp;而有的黑客只懂得编译别人的代码,自己没有动手能力,这种黑客被称为脚本小子。在现实世界里,真正造成破坏的往往是脚本小子。 3、中国黑客的发展分为三个阶段:启蒙阶段、黄金阶段、黑暗阶段。黑暗阶段从几年前开始一直延续到今天,也许还将继续下去。 4、黑客技术:早期以系统软件居多,攻击系统软件往往能直接获取root权限;web1.0时代:服务器端端脚本安全问题;we...
白帽子讲Web安全(第 1 章 我的安全世界观
sports-boy的博客
07-27 1933
第 1 章 我的安全世界观 互联网本来是安全的,自从有了研究安全的人之后,互联网就变得不安全了。 1.1 Web安全简史 研究计算机系统和网络的人,被称为“ Hacker ”,他们对计算机系统有着深入的理解,因此往往能够发现其中的问题。“ Hacker ”在中国按照音译,被称为“黑客”。在计算机安全领域,黑客是一群破坏规则、不喜欢拘束的人,因此总想着能够找到系统的漏洞,以获得一些规则之外的权力。 对于现代计算机系统来说,在用户态的最高权限是 root ( administrator ),也是黑客们最渴望能够
中学生应该怎样树立正确的世界观人生观价值观.pdf
10-29
在探讨中学生如何树立正确的世界观、人生观和价值观之前,我们首先需要明确这几个概念的含义。 世界观是指一个人对世界本质、结构和发展规律的根本看法和态度。它是我们认识世界、解释世界、改造世界的基础,是我们...
从哲学高度看财务管理的世界观和方法论.pptx
09-21
财务管理的哲学高度看世界观和方法论 财务管理的世界观是指财务管理者所秉持的价值观念、思维方式和行为标准。它决定了财务管理者的视野、思路和方法。在本课件中,我们将从哲学高度看财务管理的世界观和方法论,...
一个佛系安全从业者的区块链世界观.pdf
08-21
一个佛系安全从业者的区块链世界观.pdf
一个佛系安全从业者的区块链世界观.zip
10-25
一个佛系安全从业者的区块链世界观
XSS盲打
Naive_boy00的博客
10-15 2631
XSS的查找:绕过过滤机制,利用服务端错误的编码方式例:url:http//www.foo.com/xss.php?id=1HTML标签之间<div>[输出]</div> //xsspayload:<script>alert(1)</script>标签之间无法执行脚本,要先闭合掉对应的标签。此类标签有:<title></title> <textarea></textarea> <xmp></xmp>
web安全的关键点
Naive_boy00的博客
10-15 458
客户端脚本安全与浏览器特性息息相关。浏览器以同源策略为基础,只有加深对同源策略的理解才能抓住浏览器安全的本质。数据与指令数据有哪些浏览器打开的网站是数据的显示,其中有: 服务端存储的(如:数据库、内存、文件系统等) 客户端存储的(如:本地Cookies,Flash Cookies等) 传输中的(如:JSON数据、XML数据等) 文本数据(如:HTML、JavaScript、CSS等) 多媒体数据(如
ClickJacking
Naive_boy00的博客
10-15 399
ClickJacking原理透明iframe、视觉欺骗ClickJacking防御 frame busting(禁止iframe嵌套) X-Frame-Options: 支持的浏览器:IE8、Opera 10.50+、Safari 4+、Chrome 4。1.249.1042+、Firefox 3.6.9 可选值: DENY:拒绝加载任何frame页面 SAMEORIGIN:只加载同域名下的
XSS
Naive_boy00的博客
10-15 354
XSS:跨站脚本攻击,重要的是脚本XSS成因:数据与代码未分离XSS原理:数据变量输出到HTML时,拼接成新的语义XSS防御: 输出到HTML标签中,对变量使用HTMLEncode 输出到HTML属性中,对变量使用HTMLEncode 输出到<script>标签中,1.确保变量在引号中; 2.使用JavascriptEncode 在事件中输出,1.确保变量在引号中; 2.使用Javascrip
CSRF
Naive_boy00的博客
10-15 349
CSRF:跨站请求伪造,伪造与认证CSRF成因浏览器储存cookie机制,不同站点的cookie同时存在于多个标签页中,恶意网站发送的请求会附上站点的本地 cookie。浏览器cookie差异默认拦截第三方cookie:IE6、IE7、IE8、Safari; 不会拦截:Firefox2、Firefox3、Goole Chrome、Android等P3P头使得浏览器允许发
吴翰清解构:Web安全实战指南
本书强调了理解安全理念的重要性,例如第一章介绍了作者的安全世界观,强调了数据安全和个人隐私保护的紧迫性。通过实例分析,读者不仅能学习到具体的防护措施,还能理解这些方法背后的原理,从而做到“知其然,知其...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值