白帽子讲web安全之安全原则(一)安全原则

最新推荐文章于 2023-09-14 17:35:09 发布
最新推荐文章于 2023-09-14 17:35:09 发布
阅读量2.9k 收藏
点赞数
分类专栏: Safety
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34886247/article/details/81192972
版权

安全原则

(一)白名单原则:当使用了黑名单原则后可能会造成权限绕过,应该使用白名单原则。

例如:以后浏览器更新了新的html标签,黑名单中没有,那么可能就会造成安全隐患

(二)最小权限原则:

按需赋予权限,按需上调(类似灰度发布模型)

(三)纵深防御原则:

1,从多个角度去设计安全方案。2,在正确的地方做正确的事。

0x01:在多维层面设计安全方案,完美构建一个安全方案,

如某广告经过十多层的过滤提取出一滴水的过程,这就是纵深防御例子。

一木桶能装多少水不在于最长的板,在于最短的板。(木桶理论)

0x02:深入理解威胁的本质,如果只是过滤一些字符,那么<<笑傲江湖>>会变成笑傲江湖,1<2会变成1 2.

大大曲解了用户本意。这就是没在正确地方做正确事。

(四)数据代码分离原则:

安全起因:程序在堆栈中对用户数据当成代码执行,混淆了代码与数据的边界。

防止:在下列例子中要对$var 进行安全处理,如过滤,编码。

$var会被解析成代码。如果<body>$var </body>

输出:

<body>

</body>

如果$var的值等于:

  1. <script  src=http://evil></script>  

就会被当做代码解析,从而造成注入隐患

 

不可预测原则:

威胁起因:例如某文章社区,文章采用固定顺序存储文章,那么要删除所有文章只需要一个for遍历就可以了。

这个简单,个人理解就是一些敏感数值采用随机数,加密算法,哈希算法。

 

篇外章:

一个安全设计得体的网站往往loginID与nickname(昵称)会区分开,nickname可以公开给所有人看,而loginID是用户私有的,只能自己看到。

小知识点:

php5.3.4往下版本的0字节截断存在文件包含漏洞。

同上版本往下$is_a()函数存在远程执行漏洞。

 

红衣学姐
关注
专栏目录
白帽子Web安全(1).zip
08-06
白帽子Web安全》是吴翰清先生的一部经典著作,主要针对网络安全领域的Web安全问题进行了深入浅出的探讨。这本书以独特的视角,从"白帽子"即网络安全专家的角度出发,述了如何发现并防范Web应用程序的安全隐患...
读<白帽子web安全>第一章总结
g2714895966的博客
05-24 123
其次,要在正确的地方做正确的事情,即:在解决根本问题的地方实施针对性的安全方案。4.确认解决方案:要有针对性,这种针对性是由资产等级划分、威胁分析、风险分析等阶段的结果推出的,且必须的特点:能有效的解决问题、用户体验好、高性能、低耦合、易于扩展与升级。第二层含义:要在正确的地方做正确的事情,要深入理解威胁的本质,从而做出正确的应对措施。黑名单: 列出一个清单,在这个清单上的都是不允许的,在清单以外的都是允许的。白名单:列出一个清单,在这个清单上的都是允许的,在清单以外的都是不允许的。把所有的威胁都找出来。
【读书笔记】白帽子Web安全 第1章
行く。
03-31 128
数据完整且不被纂改,比如数字签名)、可用性(Availability;Secure By Default原则(黑名单与白名单、最小权限原则),纵深防御原则,数据与代码分离原则、不可预测性原则。互联网安全的核心问题的数据安全的问题。确定资产等级划分后,划分信任域和信任边界。未考虑过安全的产品是不完整的。没有不安全的业务,只有不安全的实现方式。好的安全方案应该具备的特点:能够有效解决问题、用户体验好、高性能、低耦合、易于扩展与升级。一般采取头脑风暴方法去确定攻击面,也可以通过模型,比如微软STRIDE模型。
白帽子》里面的安全三要素
weixin_30652879的博客
08-04 993
(转自白帽子安全三要素是安全的基本要素,分别是 机密性(Confidentiality)、完整性(Integrity)、可用性(Availability) 1、机密性 要求保护数据内容不被泄露,加密是实现机密性要求的常见手段 2、完整性则要求保护数据内容是完整的、没有篡改的,常见的保证一致性的技术手段是数字签名 3、可用性要求保护资源是"随需而得" 假设一个停车场有100个车位,在正常的...
Web 安全之基本原则
weixin_34214500的博客
06-11 176
基本原则 安全的本质是信任问题。 通过一个安全检查的过程,可以梳理未知的人或物,使其变得可信任。被划分出来的具有不同信任级别的区域,我们成为信任域;划分两个不同信任域之间的边界,我们成为信任边界。 数据从高等级的信任域流向低等级的信任域,是不需要经过安全检查的;数据从低等级的信任域流向高等级的信任域,则需要经过信任边界的安全检查。 安全三...
web系统安全设计原则
最新发布
JAVA领域优质创作者,基于分片网络查询方法专利发明者。
09-14 508
近日,针对西工大网络被攻击,国家计算机病毒应急处理中心和360公司对一款名为“二次约会”的间谍软件进行了技术分析。分析报告显示,该软件是美国国家安全局(NSA)开发的网络间谍武器。当下,我们发现对于我们发布到互联网的软件和系统的安全审查越来越严格。因为web系统天生的伴随着很多漏洞的产生,这是就给很多不法分子留下很多可乘之机。所以系统安全对于现在的业务系统来说越来越重要。
白帽子web安全 完整版
02-06
白帽子Web安全》是一本全面探讨网络安全,特别是Web应用程序安全的专业书籍。"白帽子"一词在网络安全领域指的是那些通过合法手段发现并报告系统漏洞的安全专家,与之相对的是"黑帽子"黑客。本书的重点是教育读者...
白帽子Web安全
03-19
白帽子web安全》  第一篇 世界观安全  第1章 我的安全世界观 2  1.1 web安全简史 2  1.1.1 中国黑客简史 2  1.1.2 黑客技术的发展历程 3  1.1.3 web安全的兴起 5  1.2 黑帽子,白帽子 6  1.3 返璞归真,...
白帽子Web安全读书笔记
热门推荐
刘书的IT博客
02-08 1万+
第7页 "No Patch for stupid"即“最大的漏洞就是人”,所以安全问题是一直存在的,安全的本质是信任问题,数据来源不可信,这是安全的一个原则安全是一个持续的过程,不断的升级与改善互联网安全的核心问题,是数据安全的问题。安全的3要素:CIA机密性(Confidentiality):要求数据内容不能被泄露,常见实现技术为加密。完整性(Integrity):要求数据内容是完整的,没有被
作为白帽子黑客,你应该掌握的 6 个能力
Phodal's zenthink
01-15 753
互联网进入下半场,竞争越发的激烈,能与人工智能比肩的热门职业已然不多。而互联网越发达,各大企业所面临着各种网络安全问题会越发的严峻,Web 安全工程师的人才缺口仍在不断扩...
白帽子修炼第一步(理论篇)-②(密码mst002)
05-29
米斯特学院网络安全培训第一期
web渗透--3--web安全原则(下)
武天旭的博客
07-29 1466
1、应用服务器必须对安全事件及操作事件进行日志记录。安全事件包括登录、注销、添加、删除、修改用户、授权、取消权限、鉴权、修改用户口令等;操作事件包括对业务系统配置参数的修改,对重要业务数据的创建、删除、修改、查询等;对于上述事件的结果,不管是成功还是失败,都需要记录日志。2、安全日志必须包括但不限于如下内容:事件发生的时间、事件类型、客户端IP、客户端机器名、当前用户的标识、受影响的个体、成功或失败标识、启动该事件的进程标识以及对该事件的详细描述。3、严格限制对安全日志的访问。
Web安全原则设计概述
weixin_34233679的博客
06-15 552
Web安全原则1认证模块必须采用防暴力破解机制,例如:验证码或者多次连续尝试登录失败后锁定帐号或IP。说明:如采用多次连续尝试登录失败后锁定帐号或IP的方式,需支持连续登录失败锁定策略的“允许连续失败的次数”可配置,支持在锁定时间超时后自动解锁。2对于每一个需要授权访问的页面或servlet的请求都必须核实用户的会话标识是否合法、用户是否被授权执行这个操作,以防止URL越权。...
腾讯公布2020年Q3财报,企业级安全业务成为新“增长点”
深几度
11-12 457
2020年11月12日,腾讯公布2020年Q3财报,第三季度金融科技及企业服务业务收入同比增长24%,至人民币332.55亿元。得益于云业务的持续增长以及金融、零售、出行等智慧产业领域的深耕,腾讯企业级安全服务底层技术优势凸显,成为腾讯发力产业互联网的新亮点。 2020年1-9月,腾讯企业级安全业务收入同比增加133%,基础架构安全产品收入同比增长178%,风控安全产品市场占有率第一。除了整体业绩增长显著外,腾讯安全在行业广泛关注的重点领域同样成长迅速,SOC产品增速迅猛同比增长609%,零信任安全产品同比
白帽子Web安全(纪念版)笔记
sd517125的博客
06-07 1780
白帽子Web安全(纪念版) 只是笔记,详情请查阅吴翰清老师的《白帽子Web安全》 前言 安全工程师的核心竞争力不在于他能拥有多少个0day,掌握多少中安全技术,而是在于他对安全理解的深度,以及由此引申的看待安全问题的角度和高度。 在此书中最可贵的不是那一个个工业化的解决方案,而是在解决这些问题时,背后的思考过程。**我们不是要做一个能解决问题的方案,而是要做一个能够“漂亮的”解决问题的方案。**这是每一名优秀的安全工程师应有的追求。 第一篇 世界观安全 安全问题的本质是信任问题 因为信任关系被破坏,
白帽子web安全》,了解一下
好好学习,天天向上
07-20 1221
白帽子web安全 安全三要素CIA 机密性Confidentiality 完整性Integrity 可用性Availabillity 安全评估四个阶段 资产等级划分、威胁分析、风险分析、确认解决方案 威胁Threat 风险Risk spoofing伪装 tampering篡改 repudiation抵赖 informationDisclosure信息泄漏 denial ...
纵深防御是什么
看着博客敲代码
05-26 6552
安全中我们经常听到纵深防御,但是了解纵深防御到底是什么的很少,其实纵深防御只是是安全原则中的其中一项。在安全领域,没有绝对的安全,任何单一的安全措施都是可以绕过的,所以才有了一系列的安全防护措施。 纵深防御(Defence in depth)也被称为“城堡方法”(Castle Approach)就是说在信息系统上实施多层的安全控制策略。实施纵深防御的目标是提供了冗余的安全防御,也就是说一种安全措施失效或被攻破后,还有另一种安全防御来阻止进一步的威胁,纵深防御的目标就是降低攻击者攻击成功的机率。纵深防御的概
从零开始学习WEB安全—-1白帽子20150308
bdbjxsr的专栏
09-14 1821
花了一个过年的时候过了一遍白帽子WEB安全一书(精读比例50%),其中还跳过了加密算法漏洞的一章,理由会在后面补充。起初的想法是100%精读的,但是书本写的思维比较跳跃,虽然是出自淘宝安全大神,但是对于初学的菜鸟来说好多地方还是比较晦涩,所以就改变初衷,当作一个科普来读了。 下面是对本书的理解: 能感受到作者试图将书写成一本科普读物的意图,其中也穿插了许多基础概念的述,但事实上对于我
白帽子Web安全》- 吴翰清:揭示互联网安全之道
"白帽子Web安全 - 吴翰清著" ...《白帽子Web安全》是一本理论与实践相结合的著作,它教会读者不仅要知道安全问题“是什么”,更要理解“为什么”和“怎么做”,对于提升Web应用的安全水平有着显著的指导作用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值