从零开始学习WEB安全—-1白帽子20150308

最新推荐文章于 2024-08-26 00:49:34 发布
最新推荐文章于 2024-08-26 00:49:34 发布
阅读量1.8k 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bdbjxsr/article/details/48434791
版权

  • 花了一个过年的时候过了一遍白帽子WEB安全一书(精读比例50%),其中还跳过了加密算法漏洞的一章,理由会在后面补充。起初的想法是100%精读的,但是书本写的思维比较跳跃,虽然是出自淘宝安全大神,但是对于初学的菜鸟来说好多地方还是比较晦涩,所以就改变初衷,当作一个科普来读了。

    下面是对本书的理解:

    1. 能感受到作者试图将书写成一本科普读物的意图,其中也穿插了许多基础概念的讲述,但事实上对于我这种连xss都一知半解的菜鸟来说,要想一遍就能吸取其精华,着实有一些困难。
    2. 书本的逻辑性还是比较强的,一些基础的概念也做了比较详细的解释。新手的话用10天快速阅读我觉得也就够了,主要是对WEB安全有一个基础和模糊的了解。
    3. 加密算法漏洞那一章纯粹作者为了凑字数,可以忽略。理由:现在的加密算法体制都比较的完善,要试图通过破解算法抑或是找出算法实现的漏洞是比较困难的(算法晦涩难理解不说,实现算法的一般都是数学系出身并非传统意义上的码农,功能就是输入输出很少出错也很容易发现错误,大部分程序加密算法部分都是copy很少有程序员自己去写,这样出错的概率更低了)

    下面是我学习本书的一些收获:

    1. 了解到WEB安全主要就是动态页面所带来的一些问题。简单说就是攻击分三个阶段:1)向服务器提交恶意数据  2)服务器逻辑被恶意程序破坏,产生错误的结果   3)利用错误的结果达到目的。这三个阶段可以循环执行,知道达到我们的最终目的。
    2. 了解了主要的攻击的手段的原理xss,sql注入

     

    其实光学习这些是远远不够的,作者并没有从一开始就给我们具体的展示攻击的完整过程,所以即使你看完这本书,在动手的时候就会发现自己还缺点什么。缺什么呢,下本书的第一篇就会给出答案。黑客攻防技术宝典,是我打算接下来着重学习的一本书。

bdbjxsr
关注
[网络安全自学篇] 二十五.Web安全学习路线及木马、病毒和防御初探
杨秀璋的专栏
11-12 3万+
这是作者的系列网络安全自学教程,主要是关于网安工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步。前文分享了分享机器学习安全领域的应用,并复现一个基于机器学习(逻辑回归)的恶意请求识别。这篇文章简单叙述了Web安全学习路线,并实现了最简单的木马和病毒代码,希望对读者有所帮助。
[漏洞挖掘与防护] 01.漏洞利用之CVE-2019-0708复现及防御详解(含学习路线)
杨秀璋的专栏
07-10 765
这是作者新开的一个专栏——“漏洞挖掘与防护”。第一篇文章将详细介绍Windows远程桌面服务漏洞(CVE-2019-0708),该高危漏洞利用方式是通过远程桌面端口3389,RDP协议进行攻击,堪比WannaCry。希望对入门的同学有帮助。您的点赞、评论、收藏将是对我最大的支持,感恩安全路上一路前行,如果有写得不好的地方,可以联系我修改。基础性文章,希望对您有所帮助!
从零开始学习WEB安全—-0序篇20150308
bdbjxsr的专栏
09-14 898
标题写的是从零开始,这里零仅指的是自己安全相关的知识。其实在开始踏足安全领域之前,我已经充分地了解WEB的相关的知识,简单介绍一下作为参考(从底层开始吧): 通读过一遍TCP/IP详解,对相关的协议有比较深刻的了解,但是具体协议细节说不出来。经常会使用linux环境,对linux的各种操作比较熟悉。vim也能用一点。具体分析修改过NGINX源码,对服务器的具体配置以及各种处理都非常的熟悉。分
零基础入门网络安全必看的5本书籍(附PDF)_web应用安全 教材
wholeliubei的博客
08-20 438
书中自有黄金屋,书中自有颜如玉。很多人学习一门技术都会看大量的书籍,经常也有朋友询问:零基础刚入门,应该看哪些书?应该怎么学?等等问题。今天就整理了5本零基础入门网络安全必看书籍,希望能帮到每一位认真学习网络安全的朋友!(文末有领取方式)
纯萌新手把手教你从零开始学习Web安全
yuehuajiang7的博客
06-01 364
纯萌新手把手教你从零开始学习Web安全 1.渗透测试基础 作业:下载并安装PhpStudy环境,通过PhpStudy运行PHP站点,在网站根目录下创建myphpinfo.php文件,在内容中写入"<?php phpinfo(); ?>"内容,并通过浏览器访问得到phpinfo函数执行后界面。 首先去官网下载PhpStudy 然后看看官方的教程 照葫芦画瓢 成功了! 前进了一小步 ...
从0开始学web安全!!!
chunliao3123的博客
06-27 169
我是不爱学习的小翔翔,从现在开始!从0进军web安全,这篇文章是我的第一步。 因为没有web安全的基础,所以在网上找了一些相关方面的基础知识打一下理论基础。 让我们开始! WWW—万维网 www是遍布全球的计算机网络,www常被成为web(网络)。 web上的计算机使用标准的协议和...
web安全学习
qq_44813849的博客
07-16 383
今天老师了很多但自己可能很多都没学习过所以很多地方不能理解,所以只能通过做题来了解每个工具及函数的用法,就先把今天学到的先记下。 web的基础知识 http协议 客户端request请求消息内容:大致由请求行、请求头部、空行和请求数据四个部分组成。 http请求消息Response 服务器接收并处理客户端发过来的请求后会返回一个HTTP的响应消息;HTTP响应也由四个部分组成,分别是:状态行、...
白帽子Web安全》- 吴翰清:揭示Web安全机制与防护策略
"白帽子Web安全 - 吴翰清著" 本书《白帽子Web安全》由吴翰清撰写,是一本深入探讨Web安全领域的专著。随着互联网的发展,数据安全与个人隐私面临着巨大的威胁,各类新颖的攻击手段不断涌现。这本书旨在揭示Web...
四叶草安全rasca1:一个TSRC白帽子的成长之路.pdf
09-18
文件标题:“四叶草安全rasca1:一个TSRC白帽子的成长之路.pdf”,强调了信息安全领域中,一位名叫rasca1的白帽子安全专家(白帽子,相对于黑客而言,指的是那些通过发现系统漏洞并报告给组织,帮助提高系统安全性的...
[漏洞挖掘与防护] 03.漏洞利用之WinRAR安全缺陷复现(CVE-2018-20250)及软件自启动分析
最新发布
杨秀璋的专栏
08-26 350
上一篇文章将详细介绍MS08-067远程代码执行漏洞(CVE-2008-4250)及防御过程,它是Windows Server服务RPC请求缓冲区溢出漏洞,利用445端口,并通过Metasploit工具获取shell及进行深入的操作。这篇文章将详细解WinRAR漏洞(CVE-2018-20250),并复现了该漏洞和解了恶意软件自启动劫持原理。基础性文章,希望对入门的同学有帮助。
Web安全学习
skysys的研究小屋
04-01 258
公司对Web安全工程师能力素质的要求归纳: Nmap是端口扫描、AWVS是漏洞扫描工具、burp是抓包的工具,Nessus是漏扫工具 (都是一键化使用的) web安全最重要的是:输入-输出的控制 1 信息搜集 通过信息采集去查看目标开启了什么服务,一般开启的越多漏洞也就越多。 2 黑/白盒测试 通过黑白盒测试对服务进行安全检查 权限提升后续再补。 学习方式 自学误区 ...
web安全学习1
weixin_44591106的博客
07-10 1326
1、http请求的方法有:GET、HEAD、POST、DELETE、PUT、OPTIONS、TRACE…;前五种方法较为常用。 GET 请求获取一个资源;而需要服务器发送 HEAD 请求一个资源,但是不需要服务器发送资源而仅传回响应的首部信息 POST 提交表单;支持HTML表单提交;表单中有用户填入的数据;这些数据会发送到服务器端;由服务器存储至某位置 PUT 向服务器写入文档;例如发布系统 D...
sx:快速强大易于使用的现代化网络扫描器
m0_59598029的博客
08-02 310
运行速度比Nmap要快30倍;ARP扫描:支持扫描本地网络以检测活动设备;ICMP扫描:使用高级ICMP扫描技术来检测活动主机和防火墙规则;TCP SYN扫描:传统半开放扫描以查找开放TCP端口;TCP FIN/NULL/XMAS扫描:扫描某些防火墙绕过技术;自定义TCP扫描:发送任意形式数据包,并获得回复数据包中设置的所有TCP标志的结果;UDP扫描:扫描UDP端口并获取全部ICMP响应,以检测开放端口和防火墙规则;
web安全学习之路(一)
water的博客
04-10 2131
初识xss漏洞xss攻击的介绍xss漏洞的分类xss漏洞的危害 xss攻击的介绍 xss是一种计算机漏洞,其原名叫做跨站脚本攻击,英文缩写为了不和html中的css混淆,所以缩写为xss。 该漏洞长出现在web应用中,比如浏览器中。它允许web用户将代码(类似html代码或者是一些脚本)存放在一个给其他用户使用的界面中。当用户使用此界面并且触发隐藏在其中的恶意代码时,就会对用户造成一些不可预估的后...
Web安全 学习笔记
农夫果园好好喝的博客
04-18 634
P1概念名词 1,1 域名 什么是域名? 域名是有一串用点分隔的名字组成的Internet上某一台计算机或计算机组的名称,用于在数据传输时对计算机的定位标识(有时也指的是地理位置)。 什么是二级域名多级域名? 二级域名:分两种 在国际顶级域名下的二级域名 国际顶级域名下二级域名,二级域名一般是指域名注册人选择使用的网上名称,如“yahoo.com”;上网的商业组织通常使用自己的商标、商号或其他商业标志作为自己的网上名称,如“microsoft.com”。 国家顶级域名下二级域名 在国家顶级域名之下二级域名
安全Web 安全学习笔记
weixin_33893473的博客
12-05 262
背景 说来惭愧,6 年的 web 编程生涯,一直没有真正系统的学习 web 安全知识(认证和授权除外),这个月看了一本《Web 安全设计之道》,书中的内容多是从微软官方文档翻译而来,这本书的含金量不高,不过也不能说没有收获,本文简单记录一下我学习 Web 安全方面的笔记。 本文不涉及 IIS、Windows 和 SqlServer 的安全管理与配置,尽量只谈编程相关的安全问题。 最简单的 W...
Web安全学习系列(1)
陈宇明
01-24 3441
白帽子Web安全》笔记1-5章白帽子Web安全笔记1-5章 第1章 安全世界观 安全评估过程 资产等级划分 威胁分析 风险分析 确认解决方案 第2章 浏览器安全 第3章 XSS攻击 反射型XSS 存储型XSS DOM Based XSS XSS钓鱼 XSS攻击平台 Flash XSS XSS防御 第4章 CSRF CSRF本质 CSRF防御 第5章 点击劫持ClickJacking Click
WEB安全入门(转)
dengweidan3299的博客
02-08 191
一. 首先你得了解WebWeb分为好几层,一图胜千言:事实是这样的:如果你不了解这些研究对象是不可能搞好安全研究的。这样看来,Web有八层(如果把浏览器也算进去,就九层啦,九阳神功……)!!!每层都有几十种主流组件!!!这该怎么办?别急,一法通则万法通,这是横向的层,纵向就是数据流啦!搞定好数据流:从横向的层,从上到下→从下到上,认真看看这些数据在每个层是怎么个处理的。数据流中,有个关键...
【好书推荐】写Web必须知道的安全知识 | 《白帽子Web安全
Code Metaverse
08-16 483
书名白帽子Web安全作者吴翰清出版社电子工业出版社ISBN推荐人群:前端程序员、后端程序员推荐理由:开发人员应该具有的Web安全知识汇总,工作必备。
走进Web安全:从白帽子视角揭示攻防之道
"白帽子Web安全 - 吴翰清著" 《白帽子Web安全》是一本深入探讨Web安全领域的专业书籍,由作者吴翰清基于多年实战经验撰写。在当前互联网时代,随着数据安全和个人隐私面临日益严峻的威胁,理解和掌握Web安全...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值