读书笔记
读书笔记
sports-boy
世上之事,有所逼有所激而成事者居其半。
—曾国潘
展开
-
白帽子讲Web安全(第 18 章 安全运营)
第 18 章 安全运营俗话说,安全是“三分技术,七分管理”。安全对于企业来说,结果才是最重要的。安全方案设计完成后,即使看起来再美好,也需要经受实践的检验。18.1 把安全运营起来互联网公司如何规划自己的安全蓝图呢?从战略层面上来说, Aberdeen Group 提到了三句话: Find and Fix,Defend and Defer,Secure at the Source。一个安全评估的过程,就是一个“ Find and Fix ” 的过程。通过漏洞扫描、渗透测试、代码审计等方式,可以发现系原创 2020-08-30 14:43:25 · 238 阅读 · 0 评论 -
白帽子讲Web安全(第 17 章 安全开发流程( SDL ))
第 17 章 安全开发流程( SDL )安全开发流程,能够帮助企业以最小的成本提高产品的安全性。它符合“ Secure at the Source ”的战略思想。实施好安全开发流程,对企业安全的发展来说,可以起到事半功倍的效果。17.1 SDL 简介SDL 的全称是 Secureity Development Lifecycle ,即:安全开发生命周期。它是由微软最早提出的,在软件工程中实施,是帮助解决软件安全问题的办法。SDL 是一个安全保证的过程,其重点是 软件开发,它在开发的所有阶段都引入了安全原创 2020-08-30 14:42:33 · 1188 阅读 · 0 评论 -
白帽子讲Web安全(第 16 章 互联网业务安全)
第 16 章 互联网业务安全16.1 产品需要什么样的安全一个完整的产品有许多特性,互联网产品亦如此。互联网产品其实是网站提供的在线服务产品特性包括性能、美观、方便性等方面,同时也包括安全。一般来说,安全是产品的一个特性。安全本身可视作产品的一个组成部分。一个好的产品,在设计之初,就应该考虑是否会存在安全隐患,从而提前准备好对策。将安全视为产品特性,往往也就解决了业务与安全之间的矛盾。其实业务与安全之间本来是没有冲突的,出现冲突往往是因为安全方案设计的不够完美。比如安全方案的实现成本相对较高,从而原创 2020-08-30 14:41:20 · 261 阅读 · 0 评论 -
白帽子讲Web安全(第 15 章 Web Server 配置安全)
第 15 章 Web Server 配置安全Web 服务器是 Web 应用的载体,如果这个载体出现安全问题,那么运行在其中的 Web 应用程序的安全也无法得到保障。因此 Web 服务器的安全不容忽视。Web 服务器安全,考虑的是应用部署时的运行环境安全。这个运行环境包括 Web Server 、脚本语言解释器、中间件等软件,这些软件所提供的一些配置参数,也可以起到安全保护的作用。15.1 Apache 安全尽管近年来 Nginx 、 LightHttpd 等 Web Server 的市场份额增长得很原创 2020-08-23 14:46:18 · 245 阅读 · 0 评论 -
白帽子讲Web安全(第 14 章 PHP 安全)
第 14 章 PHP 安全14.1 文件包含漏洞严格来说,文件包含漏洞是“代码注入”的一种。在“注入攻击”一章中,曾经提到过“代码注入”这种攻击,其原理就是注入一段用户能够控制的脚本或代码,并让服务器端执行。“代码注入”的典型代表就是文件包含( File Inclusion )。文件包含可能会出现在 JSP、PHP、ASP 等语言中,常见的导致文件包含的函数如下。PHP:include() , include_one() , require() , require_once() , fopen()原创 2020-08-23 13:30:36 · 152 阅读 · 0 评论 -
白帽子讲Web安全(第 13 章 应用层拒绝服务攻击)
第 13 章 应用层拒绝服务攻击13.1 DDOS 简介DDOS 又称为分布式拒绝服务,全称是 Distributed Denial of Service 。 DDOS 本是利用合理的请求造成资源过载,导致服务不可用。分布式拒绝服务攻击,将正常请求放大了若干倍,通过若干个网络节点同时发起攻击,以达成规模效应。这些网络节点往往是黑客们所控制的“肉鸡”,数量达到一定规模后,就形成了一个“僵尸网络”。大型的僵尸网络,甚至达到了数万、数十万台的规模。如此规模的僵尸网络发起的 DDOS 攻击,几乎是不可阻挡的。原创 2020-08-20 12:46:36 · 301 阅读 · 0 评论 -
白帽子讲Web安全(第 12 章 Web框架安全)
第 12 章 Web框架安全12.1 MVC 框架安全12.2 模板引擎与 XSS 防御在 View 层,可以解决 XSS 问题。XSS 攻击是在用户的浏览器上执行的,其形成过程则是在服务器端页面渲染时,注入了恶意的 HTML 代码导致的。从 MVC 架构来说,是发生在 View 层,因此使用“输出编码”的防御方法更加合理,这意味着需要针对不同上下文的 XSS 攻击场景,使用不同的编码方式。“输出编码”的防御方法:在 HTML 标签中输出变量;在 HTML 属性中输出变量;在 script原创 2020-08-18 20:04:58 · 157 阅读 · 0 评论 -
白帽子讲Web安全(第 11 章 加密算法与随机数)
第 11 章 加密算法与随机数加密算法与伪随机数算法是开发中经常会用到的东西,但加密算法的专业性非常强,在 Web 开发中,如果对加密算法和伪随机数算法缺乏一定的了解,则很可能会错误的使用它们,最终导致应用出现安全问题。11.1 概述密码学有着悠久的历史,它满足了人们对安全的最基本需求----保密性。密码学可以说是安全领域发展的基础。常见的加密算法通常分为 分组加密算法 与 流密码加密算法 两种,两者的实现原理不同。分组加密算法基于“分组”( block )进行操作,根据算法的不同,每个分组的长原创 2020-08-18 09:25:53 · 505 阅读 · 0 评论 -
白帽子讲Web安全(第 10 章 访问控制)
第 10 章 访问控制10.1 What Can I Do?权限控制,或者说访问控制,广泛应用于各个系统中。抽象的说,都是某个主体( subject )对某个客体( object )需要实施某种操作( operation ),而系统对这种操作的限制就是权限控制。在一个安全系统中,确定主体的身份是“认证”解决的问题;而客体是一种资源,是主体发起的请求的对象。在主体对客体进行操作的过程中,系统控制主体不能“无限制”的对客体进行操作,这个过程中就是“访问控制”。主体“能够做什么”,就是权限。权限可以细分成原创 2020-08-15 09:16:14 · 203 阅读 · 0 评论 -
白帽子讲Web安全(第 9 章 认证与会话管理)
第 9 章 认证与会话管理“认证”是最容易理解的一种安全。如果一个系统缺乏认证手段,明眼人都能看出来这是“不安全”的。最常见的认证方式就是用户名与密码,但认证的手段却远远不止于此。9.1 Who am I ?很多时候,人们会把“认证”和“授权”两个概念搞混,甚至有些安全工程师也是如此。实际上“认证”和“授权”是两件事情,认证的英文是 Authentication ,授权则是 Authorization 。分清楚这两个概念其实很简单,只需要记住下面这个事实:认证的目的是为了认出用户是谁,而授权的母的是原创 2020-08-10 16:35:29 · 280 阅读 · 0 评论 -
白帽子讲Web安全(第 8 章 文件上传漏洞)
第 8 章 文件上传漏洞8.1 文件上传漏洞概述文件上传漏洞是指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力。这种攻击方式是最为直接和有效的,有时候几乎没有什么技术门槛。文件上传功能本身是一个正常业务需求,对于网站来说,很多时候也确实需要用户将文件上传到服务器。所以“文件上传”本身没有问题,但有问题的是文件上传后,服务器怎么处理、解释文件。如果服务器的处理逻辑做的不够安全,则会导致严重的后果。文件上传后导致的常见安全问题一般有:上传文件是 Web 脚本语言,服务器原创 2020-08-10 16:34:25 · 177 阅读 · 0 评论 -
白帽子讲Web安全(第 7 章 注入攻击)
第 7 章 注入攻击注入攻击是 Web 安全领域中一种最为常见的攻击方式。安全设计原则----“数据与代码分离”原则,它可以说是专门为了解决注入攻击而生的。注入攻击的本质,是把用户输入的数据当作代码执行。这里有两个关键条件:用户能够控制输入原本程序要执行的代码,拼接了用户输入的数据。7.1 SQL注入在 SQL 注入的过程中,如果网站的 Web 服务器开启了错误回显,则会为攻击者提供极大的便利,比如攻击者在参数中输入一个单引号“ ' ”,引起执行查询语句的语法错误,服务器直接返回了错误信息原创 2020-08-09 12:42:21 · 285 阅读 · 0 评论 -
白帽子讲Web安全(第 6 章 HTML 5 安全 )
第 6 章 HTML 5 安全HTML 5 是 W3C 制定的新一代 HTML 语言的标准。6.1 HTML 5 新标签6.1.1 新标签的 XSSHTML 5 定义了很多新标签、新事件,这有可能带来新的 XSS 攻击。一些新 XSS Felter 如果建立了一个黑名单的话,则可能就不会覆盖到 HTML 5 新增的标签和功能,从而避免发生 XSS 。HTML 5 中新增的一些标签和属性,使得 XSS 等 Web 攻击发生了新的变化,为了总结这些变化,有安全研究者建立了一个 HTML 5 Secu原创 2020-08-09 12:22:53 · 199 阅读 · 0 评论 -
白帽子讲Web安全(第 5 章 点击劫持( ClickJacking ))
第 5 章 点击劫持( ClickJacking )2008 年,安全专家 Robert Hansen 与 Jeremiah Grossman 发现了一种被他们称为“ ClickJacking ”(点击劫持)的攻击,这种攻击方式影响了几乎所有的桌面平台,包括 IE、Safari、Firefox、Opera 以及 Adobe Flash。两位发现者准备在当年的 OWASP 安全大会上公布并进行演示,但包括 Adobe 在内的所有厂商,都要求在漏洞修补前不要公开此问题。5.1 什么是点击劫持点击劫持是一种原创 2020-08-07 10:09:38 · 288 阅读 · 0 评论 -
白帽子讲Web安全(第 4 章 跨站点请求伪造( CSRF ))
第 4 章 跨站点请求伪造( CSRF )CSRF 的全名是 Cross Site Request Forgery,翻译成中文就是跨站点请求伪造。4.1 CSRF 简介4.2 CSRF 进阶4.2.1 浏览器的 Cookie 策略攻击者伪造的请求之所以能够被搜狐服务器验证通过,是因为用户的浏览器成功发送了 Cookie 的缘故。浏览器所持有的 Cookie 分为两种:“ Session Cookie ”,又称“临时 Cookie ”,保存在浏览器进程的内存空间中;“ Third-party原创 2020-08-06 10:44:53 · 192 阅读 · 0 评论 -
白帽子讲Web安全(第 3 章 跨站脚本攻击( XSS ))
第 3 章 跨站脚本攻击( XSS )3.1 XSS 简介跨站脚本攻击,英文全称是 Cross Site Script,本来缩写是 CSS,但是为了和层叠样式表(Cascading Style Sheet,CSS )有所区别,所以在安全领域叫做“XSS”。XSS 攻击,通常指黑客通过“ HTML 注入”篡改了网页,插入了恶意的脚本,从而在用户浏览网页时,控制用户浏览器的一种攻击。在一开始,这种攻击的演示案例是跨域的,所以叫做“跨站脚本”。针对各种不同场景长生的XSS,需要区分情景对待。XSS 根原创 2020-08-05 09:47:12 · 580 阅读 · 0 评论 -
白帽子讲Web安全(重点摘录)
书名:白帽子讲Web安全作者:吴翰清出版社:电子工业出版社阅读进度:重点摘录:第 1 章 我的安全世界观第 2 章 浏览器安全第 3 章 跨站脚本攻击( XSS )第 4 章 跨站点请求伪造( CSRF )第 5 章 点击劫持(ClickJacking)第 6 章 HTML 5 安全第 7 章 注入攻击第 8 章 文件上传漏洞第 9 章 认证与会话管理第 10 章 访问控制第 11 章 加密算法与随机数第 12 章 Web 框架安全第 13 章 应用层拒绝服务攻击第原创 2020-07-27 09:12:44 · 345 阅读 · 0 评论 -
白帽子讲Web安全(第 2 章 浏览器安全)
第 2 章 浏览器安全2.1 同源策略同源策略( Same Origin Policy )是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说 Web 是构建在同源策略的基础之上的,浏览器只是针对同源策略的一种实现。浏览器的同源策略,限制了来自不同源的“ document ”或脚本,对当前“ document ”读取或设置某些属性。在浏览器中,<script> 、<img> 、<iframe> 、<l原创 2020-07-27 09:10:06 · 195 阅读 · 0 评论 -
白帽子讲Web安全(第 1 章 我的安全世界观)
第 1 章 我的安全世界观互联网本来是安全的,自从有了研究安全的人之后,互联网就变得不安全了。1.1 Web安全简史研究计算机系统和网络的人,被称为“ Hacker ”,他们对计算机系统有着深入的理解,因此往往能够发现其中的问题。“ Hacker ”在中国按照音译,被称为“黑客”。在计算机安全领域,黑客是一群破坏规则、不喜欢拘束的人,因此总想着能够找到系统的漏洞,以获得一些规则之外的权力。对于现代计算机系统来说,在用户态的最高权限是 root ( administrator ),也是黑客们最渴望能够原创 2020-07-27 09:08:04 · 1933 阅读 · 0 评论