《白帽子讲Web安全》1-我的安全世界观

最新推荐文章于 2024-01-06 00:01:56 发布
最新推荐文章于 2024-01-06 00:01:56 发布
阅读量345 收藏
点赞数
分类专栏: Web 文章标签: web 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ch_fu/article/details/79725102
版权
  1. 安全的本质是信任的问题。
  2. 安全是一个持续的过程。
  3. 安全三要素
    • 机密性
    • 完整性
    • 可用性
  4. 安全评估的过程
    • 资产等级划分
      • 互联网安全的核心问题,是数据安全的问题。
      • 信任域与信任边界。
    • 威胁分析
      • 威胁:造成危害的来源。
      • 风险:可能会出现的损失。
      • 威胁建模方法:STRIDE模型。
        • Spoofing(伪装)
        • Tampering(篡改)
        • Repudiation(抵赖)
        • InformationDislosure(信息泄露)
        • Denial of Service(拒绝服务)
        • Elevation of Privilege(提升权限)
    • 风险分析
      • Risk = Probability * Damage Potential
      • 衡量风险:DREAD模型
    • 确认解决方案
      • 解决方案一定要有针对性。
      • 没有不安全的业务,只有不安全的实现方式。
    • -
  5. 白帽子兵法
    • Secure by Default原则——总则
      • 使用白名单,系统就会变得更安全。
      • 安全问题的本质是信任问题,安全方案也是基于信任来做的。
      • 选择白名单的思想,就是信任白名单是安全的。但是一旦这个信任基础不存在了,那么安全就荡然无存。
    • 最小权限原则
      • 系统只授予主体必要的权限,而不要过度授权,这样能有效减少系统、网络、应用、数据库出错的机会。
    • 纵深防御原则——更全面、更正确地看待问题
    • 数据与代码分离原则——从漏洞成因上看问题
      • 各种“注入”
      • 缓冲区溢出
    • 不可预测性原则——从克服攻击方法的角度看问题
      • 能有效对抗基于篡改、伪造的攻击
      • 可以巧妙地用在一些敏感数据上。如使用token防御CSRF攻击
      • 其实现,往往需要用到加密算法、随机数算法、哈希算法。
ch_fu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
白帽子web安全》我的安全世界观
weixin_49472648的博客
03-21 3636
文章目录我的安全世界观前言安全工程师的核心竞争力白帽子的使命现状里程碑安全的本质安全三要素如何防范安全问题?安全评估步骤资产等级划分:威胁分析(确定攻击面):风险分析:设计安全方案白帽子兵法一、Secure By Default 原则二、Defense in Depth(纵深防御) 原则三、数据与代码分离原则四、不可预测性原则总结 我的安全世界观 前言 互联网本来是安全的,自从有了研究安全的人以后,就变得不安全了。 漏洞只是对破坏性功能的一个统称而已。 我们定义一个功能是否是漏洞,只看后果,而不应该看过
白帽子Web安全安全运营
weixin_49472648的博客
03-26 4713
安全运营 前言 安全是“三分技术,七分管理” 安全是一个持续的过程,“安全运营”的目的就是把这个“持续的过程”执行起来 健康的企业安全需要依靠“安全运营”来保持新陈代谢,保持活力 安全运营需要让端口扫描、漏洞扫描、代码白盒扫描等发现问题的方式变成一种周期性的任务。 需要安全运营不断地去发现问题,周期性地做安全健康检查 安全蓝图 Find and Fix 一个安全评估的过程,就是一个“Find and Fix” 的过程。 通过漏洞扫描、渗透测试、代码审计等方式,可以发现系统中已知的安全问题;然后再通过设计安全
白帽子Web安全——世界观安全
独活
11-14 6160
一、web安全简史 1、不想拿“root”的黑客不是好黑客 2、在黑客的世界里,有的黑客,精通计算机技术,能自己挖掘漏洞,并编写exp;而有的黑客只懂得编译别人的代码,自己没有动手能力,这种黑客被称为脚本小子。在现实世界里,真正造成破坏的往往是脚本小子。 3、中国黑客的发展分为三个阶段:启蒙阶段、黄金阶段、黑暗阶段。黑暗阶段从几年前开始一直延续到今天,也许还将继续下去。 4、黑客技术:早期以系统软件居多,攻击系统软件往往能直接获取root权限;web1.0时代:服务器端端脚本安全问题;we...
白帽子Web安全世界观安全
FangWenJing150的博客
03-25 1553
1.回顾了安全的历史。 2.阐述了安全的看法与态度。 3.提出了一些思考问题的方式以及做事的方法。
白帽子Web安全】第一章 我的安全世界观
xtcc的博客
07-18 2237
web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。实际上,缓冲区溢出,也可以认为是程序违背了这一原则的后果——程序在栈或者堆中,将用户数据当做代码执行,混淆了代码与数据的边界,从而导致安全问题的发生。要求系统只授予主体必要的权限,而不要过度授权,这样能有效地减少系统,网络,应用,数据库出错的机会。...
学习web安全,强烈推荐这本《白帽子web安全》!
热门推荐
codedz的博客
05-29 2万+
Web是互联网的核心,是未来云计算和移动互联网的最佳载体,因此Web安全也是互联网公司安全业务中最重要的组成部分。 下面来看看几种常见的web漏洞: 1.XSS跨站脚本攻击 XSS跨站脚本攻击,通常指黑客通过”HTML注入”篡改了网页,插入了恶意的脚本,从而在用户浏览网页时,控制用户浏览器的一种攻击。XSS根据效果的不同还分为:反射型XSS、存储型XSS、DOM Based XSS   ...
白帽子Web安全》学习笔记
qq_53058639的博客
03-18 381
最近加入新公司后,公司的官网突然被Google标记为了不安全的诈骗网站,一时间我们信息技术部门成为了众矢之的,虽然老官网并不是我们开发的(因为开发老官网的前辈们全都跑路了)。我们花了很多时间做Web安全扫描以及修复,在检查和修复过程中,发现老系统的代码的不可维护性(再次说明整洁代码之道Clean Code的重要性)及安全性(同时也说明了Web安全的重要性)。修复之后,向Google提出了申诉,漫长的等待(1~2天对于公司的官网来说就是Money啊!)后Google放开了。
白帽子WEB安全--吴翰清.pdf
05-20
阿里巴巴知名安全大牛吴翰清所著书籍--《白帽子web安全
白帽子Web安全(1).zip
08-06
白帽子Web安全》是吴翰清先生的一部经典著作,主要针对网络安全领域的Web安全问题进行了深入浅出的探讨。这本书以独特的视角,从"白帽子"即网络安全专家的角度出发,述了如何发现并防范Web应用程序的安全隐患...
吴翰清:白帽子Web安全
02-21
安全宝副总裁、前阿里巴巴集团高级安全专家吴翰清将携他的《白帽子Web安全》一书做客问答栏目。以下为采访正文:吴翰清(刺哥/总,大风哥),安全宝副总裁,前阿里巴巴集团高级安全专家。毕业于西安交通大学少年班...
白帽子Web安全
01-16
白帽子Web安全》将带你走进Web安全的世界,让你了解Web安全的方方面面。黑客不再变得神秘,攻击技术原来我也可以会,小网站主自己也能找到正确的安全道路。大公司是怎么做安全的,为什么要选择这样的方案呢?你...
白帽子Web安全高清完整PDF版
07-03
白帽子Web安全》将带你走进Web安全的世界,让你了解Web安全的方方面面。黑客不再变得神秘,攻击技术原来我也可以会,小网站主自己也能找到正确的安全道路。大公司是怎么做安全的,为什么要选择这样的方案呢?你...
白帽子web安全 笔记(一)
qq_53137566的博客
06-21 343
第一章结束!
【读书笔记】《白帽子web安全》我的安全世界观
最新发布
uuzeray的博客
01-06 1208
即将考试周了,考前死盯着那几门复习不是我的作风,但花大功夫去学一些新的技术时间会有些吃紧。所以翻出这本尘封已久的道哥著作,挑战这本让三个月前的自己败下阵来的小部头,希冀每天有所思考有所沉淀,深化对web安全的理解。冷静下来,暂时从具体的技术细节脱身,冷静审视安全本身为何。“种一棵树的最好时间是十年前,其次是现在。
白帽子web安全》学习笔记——web安全概述
a2562614613的博客
08-28 781
一、安全的三要素 1、机密性 机密性要求保护数据内容不被泄露,加密是实现机密性要求的常见方法,比如常见的对称加密算法和非堆成加密算法。 2、完整性 完整性要求保护数据内容是完整的,没有被篡改,常见的保证一致性的技术手段是数据签名。 3、可用性 可用性要求保护资源是“随需而得”。安全领域中,拒绝服务攻击破坏得就职安全的可用应。 安全领域中,除以上要素外,仍然存在一些其他要素,比如不可抵赖性、可审计性,但最重要的要素便是以上三个。在...
白帽子web安全(精写含思维导图)
加油~
06-06 6581
安全从业必读
白帽子Web安全——客户端安全
u011423880的博客
07-27 630
一.跨站脚本攻击(XSS) 1.简介 XSS攻击,通常指黑客通过“HTML注入”篡改了网页,插入了恶意的脚本,从而在用户浏览网页时,控制用户浏览器的一种攻击。 2.类型 XSS根据效果的不同可以分成如下几类。 (1) 反射型XSS 反射型XSS只是简单地把用户输入的数据“反射”给浏览器。也就是说,黑客往往需要诱使用户“点击”一个恶意链接,才能攻击成功。反射型XSS也叫做“非持久型XSS”(Non-persistent XSS)。 (2) 存储型XSS 存储型XSS会把用户输入的数据“存储”在服务器端。这种X
白帽子Web安全》11-加密算法与随机数
CD的博客
03-30 1323
常见的加密算法
白帽子Web安全》- 吴翰清著,揭秘互联网安全
"白帽子 Web 安全" 是一本由吴翰清编著的专业书籍,主要探讨了互联网时代的Web安全问题。这本书旨在揭秘黑客攻击技术,教导读者如何保护数据安全和个人隐私,适合从初级到高级的安全从业者阅读。 本书的内容涵盖...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值