白帽子讲web安全之1

最新推荐文章于 2024-09-22 20:55:56 发布
最新推荐文章于 2024-09-22 20:55:56 发布
阅读量564 收藏
点赞数
分类专栏: 从web安全开始 文章标签: 安全 web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31268851/article/details/53844420
版权

从道哥的这本书开始,记录学习的点滴!

安全的评估可以分为4个阶段
- 资产等级划分
- 威胁分析
- 风险分析 (必定和损失有联系,注意区别于威胁)
- 确认解决方案

威胁分析模型
STRIDE (进展,大步。即便有威胁,我们也一定要昂首阔步的向前走)
- spoofing 伪装 认证
- tampering 纂改 完整性
- repudiation 抵赖 不可抵赖性
- informationdisclosure 信息泄露 机密性
- denial of service 拒绝服务 可用性
- elvation of privilege 提升权限 授权

风险分析模型
DREAD模型 (恐惧)
等级 高(3) 中(2) 低(1)
-damage potential 非法上传 泄露敏感信息 泄露其他信息
-reproducibility 随意再次攻击 可再次但有时间限制 难重复
- exploitability 初学者能掌握攻击方法 熟练者 漏洞难利用
- affected users 所有 部分 少数
- discoverability 漏洞明显 私有区域 发现漏洞困难
高危 12到15分 中 8-11

quantumsec
关注
专栏目录
白帽子Web安全》注入攻击
weixin_49472648的博客
03-28 877
注入攻击 前言 安全设计原则“数据与代码分离”原则,可以说就是专门为了解决注入攻击而生的。 注入攻击代指一类攻击,它们通过注入数据到一个网络应用程序以期获得执行,亦或是通过非预期的一个方式来执行恶意数据。 本质 注入攻击的本质,就是把用户输入的数据当做代码执行。 实现注入攻击的两个关键条件 第一个:用户能控制输入——用户能控制输入变量 第二个:原本程序要执行的代码,拼接了用户输入的数据。(正是拼接的这个过程导致了代码的注入) 盲注 盲注出现原因 在SQL注入过程中,如果网站的Web服务器开启了错误回显,则会
吴翰清:白帽子Web安全
02-21
安全宝副总裁、前阿里巴巴集团高级安全专家吴翰清将携他的《白帽子Web安全》一书做客问答栏目。以下为采访正文:吴翰清(刺哥/总,大风哥),安全宝副总裁,前阿里巴巴集团高级安全专家。毕业于西安交通大学少年班...
白帽子Web安全——世界观安全
独活
11-14 6250
一、web安全简史 1、不想拿“root”的黑客不是好黑客 2、在黑客的世界里,有的黑客,精通计算机技术,能自己挖掘漏洞,并编写exp;而有的黑客只懂得编译别人的代码,自己没有动手能力,这种黑客被称为脚本小子。在现实世界里,真正造成破坏的往往是脚本小子。 3、中国黑客的发展分为三个阶段:启蒙阶段、黄金阶段、黑暗阶段。黑暗阶段从几年前开始一直延续到今天,也许还将继续下去。 4、黑客技术:早期以系统软件居多,攻击系统软件往往能直接获取root权限;web1.0时代:服务器端端脚本安全问题;we...
白帽子web安全读后感
wswr的博客
03-11 1023
第一章 我的安全世界观 安全问题本质就是信任问题【你总要制定一个基准以此判断是否安全,这个基准怎么理解呢,比方上传文件,做的限制和过滤就是一个基准,通过这个基准你去信任自己是否是安全的】 安全是一个持续的过程【攻防都在进步,道高一尺魔高一丈,不断出现的漏洞和对应补丁就是很好的例子去理解为什么持续的安全白帽子兵法: Secure by Default(默认的安全)一方面是白名单思想【黑名单存在被各种可能的绕过】,一方面是最小权限原则(最差的情况即使被攻克了,拿到的权限也不高) 纵深防御原则:一方
【读书笔记】《白帽子web安全》我的安全世界观
uuzeray的博客
01-06 1240
即将考试周了,考前死盯着那几门复习不是我的作风,但花大功夫去学一些新的技术时间会有些吃紧。所以翻出这本尘封已久的道哥著作,挑战这本让三个月前的自己败下阵来的小部头,希冀每天有所思考有所沉淀,深化对web安全的理解。冷静下来,暂时从具体的技术细节脱身,冷静审视安全本身为何。“种一棵树的最好时间是十年前,其次是现在。
白帽子web安全(精写含思维导图)
加油~
06-06 7342
安全从业必读
白帽子Web安全学习之XSS
qq_44874027的博客
04-11 3047
1.XSS简介 跨站脚本攻击(Cross Site Sript)缩写XSS,XSS攻击通常指黑客通过HTML注入篡改了网页,插入了恶意脚本,从而在用户浏览网页时,控制用户的浏览器的一种攻击方式。下面看个例子 <?php $input = $_GET["param"]; echo "<div>".$input."</div>"; ?> 正常情况下,用户输入数据提交param后,代码会将其输入的展示到页面中,但是由于没有对用户输入进行限制,如果用户输入以下代码:
白帽子Web安全》 读书
weixin_49889669的博客
08-09 433
前段时间看《码农翻身2》时,里面到一部分 安全 相关的知识点很是有趣, 又想起多年前一位朋友推荐的《白帽子Web安全》,据说这本书是安全领域的圣经,遂跑到图书馆借了这本书,下定决心读一读。9.XSS攻击角度: 恶意脚本,劫持Cookie,伪造GET POST请求,钓鱼网站界面,识别用户浏览器,识别用户安装软件,HistoryHack用户曾经访问的网站,获取用户真实IP。1.在安全圈子里 素有 白帽 黑帽 一说, 黑帽子是指那些造成破坏的黑客,而白帽子则是研究安全,但不造成破坏的黑客。
笔记《白帽子Web安全》吴翰清
热门推荐
繁星点点~
03-13 1万+
第一篇:世界观安全第一章:我的安全世界观一个网站的数据库,在没有任何保护的情况下,数据库服务端口是允许任何人随意连接的;在有了防火墙的保护后,通过ACL可以控制只允许信任来源的访问。这些措施在很大程度上保证了系统软件处于信任边界之内,从而杜绝了绝大部分的攻击来源。1.1.3Web安全的兴起常见攻击:SQL注入,XSS(跨站脚本攻击)“破坏往往比建设容易”,但凡事都不是绝对的。一般来说,白帽子选择的...
白帽子web安全读后感1
南浦
02-07 2508
白帽子web安全读后感1 本文实际上算是白帽子web安全的回顾,总结了一些我觉得比较重要的关键词,方便以后复习.具体内容可以参考书 浏览器安全 本文对应第2章节,主要的内容是同源策略.当然也可以参考阮一峰老师的文章 终止就是要保证协议,域名和端口的一致,如果看到提示cros错误就要考虑这个问题. 另外现在app开发喜欢采用浏览器套壳的策略,同时还有h5小程序开发,总之前端技术大有可为. 跨站脚本攻击(XSS) 本文是第三章 跨站脚本攻击(Cross Site Script,简称 XSS),利用网页开发时
白帽子Web安全
01-16
白帽子Web安全》内容简介:在互联网时代,数据安全与个人隐私受到了前所未有的挑战,各种新奇的攻击技术层出不穷。如何才能更好地保护我们的数据?《白帽子Web安全》将带你走进Web安全的世界,让你了解Web安全...
白帽子web安全 完整版
03-12
白帽子Web安全》是一本深入探讨网络安全领域中Web应用安全的专业书籍,全面覆盖了Web安全的基础理论、常见威胁及防御策略。随着互联网技术的不断发展,Web应用已经成为日常生活和工作中不可或缺的一部分,...
白帽子Web安全高清完整PDF版
07-03
白帽子Web安全》内容简介:在互联网时代,数据安全与个人隐私受到了前所未有的挑战,各种新奇的攻击技术层出不穷。如何才能更好地保护我们的数据?《白帽子Web安全》将带你走进Web安全的世界,让你了解Web安全...
WAAP解决方案:守护数字时代的安全盾牌
dexunyun的博客
09-18 989
WAAP,即Web应用程序与API保护,是一种综合性的多层防护解决方案。它旨在通过强化认证、加密机制以及集成多种安全防护手段,如API安全Web攻击防护、全站隔离、漏洞扫描和流量清洗等,为企业的Web应用程序和API提供全方位的安全保障。WAAP不仅能够有效防御常见的网络攻击,如跨站脚本(XSS)、跨站请求伪造(CSRF)和SQL注入等,还能应对更为复杂的DDoS攻击和API接口滥用等高级威胁。
小琳AI课堂:确保大语言模型安全的八大策略--从数据隐私到用户教育
wx740851326的博客
09-15 507
首先,我们要明白,保证大语言模型的安全,需要从多个方面入手,确保模型在技术、法律、伦理和社会层面都得到妥善处理。大家好,这里是小琳AI课堂。今天我们深入探讨如何保证大语言模型的安全,这可是关系到我们每个人哦!
深入剖析Docker容器安全:挑战与应对策略
qq_39241682的博客
09-18 1039
Docker容器通过操作系统级虚拟化实现应用的隔离,这种方式与传统虚拟机不同,容器共享宿主机的内核。这种架构虽然简化了部署和资源利用,但也引入了安全隐患,特别是当容器与宿主机共享内核时,容器内部的漏洞可能会影响到整个系统。
【农信网-注册/登录安全分析报告】
09-16 1571
北京农信互联科技集团有限公司是一家农业互联网高科技企业,以“用互联网改变农业”为使命,致力于构建最有影响力的农业数智生态平台,推动中国农业数字化转型升级。作为农业互联网领域的“独角兽”企业, 技术实力也应该不错,但采用的还是老一代的图形验证码已经落伍了, 用户体验一般,容易被破解, 一旦被国际黑客发起攻击,将会对老百姓形成骚扰,影响声誉。很多人在短信服务刚开始建设的阶段,可能不会在安全方面考虑太多,理由有很多。比如:“需求这么赶,当然是先实现功能啊”,“业务量很小啦,系统就这么点人用,不怕的。
安卓开发中,可以反射去换肤,那么我们应该也可以使用反射去串改我们的程序,作为开发者,我们如何保证我们自己的应用的安全呢?
最新发布
qq_43664361的博客
09-22 347
在安卓开发中,虽然反射提供了强大的动态操作能力,包括访问和修改类、接口、字段以及方法,但这也为潜在的恶意攻击者提供了篡改程序的可能性。作为开发者,我们需要采取一系列措施来确保自己应用的安全,防止反射被用于非法目的。
白帽子Web安全》- 吴翰清:揭示互联网安全之道
"白帽子Web安全 - 吴翰清著" 本书《白帽子Web安全》由资深安全专家吴翰清撰写,旨在帮助读者理解并应对互联网时代日益严峻的数据安全和个人隐私挑战。书中深入探讨了各种新兴的Web攻击技术,为读者揭示了Web...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值