《白帽子讲web安全》读书笔记系列8:访问控制

最新推荐文章于 2024-04-24 21:23:03 发布
最新推荐文章于 2024-04-24 21:23:03 发布
阅读量324 收藏
点赞数
分类专栏: 系统安全 文章标签: 白帽子讲web安全 权限控制 访问控制

1、权限控制(访问控制):某个主体对某个客体需要实施某种操作,系统对这种操作的限制即权限控制;

如网络中的ACL、OS中的文件访问控制、web应用的访问控制等

常见的web应用访问控制:

1)基于URL

2)基于方法(method)

3)基于数据

 

2、垂直权限管理

访问控制的实质:建立用户与权限之间的对应关系;

基于角色的访问控制Role-Based Access Control(RBAC):角色是一些列权限的集合,系统用户会被分配不同的角色,一个用户可以拥有多个角色,验证用户权限只需要验证其角色即可。

 

3、水平权限管理

基于数据的访问控制,一个简单的数据级访问控制,可以考虑使用“用户组”的概念,比如一个用户组的数据只属于该组内的成员,只有同一用户组的成员才能实现对这些数据的操作。

 

个人总结:垂直权限管理解决用户访问哪些页面问题,水平权限管理解决用户访问同一页面下的不同数据的问题。

 

4、OAuth

OAuth源于OpenID,OpenID解决认证问题,OAuth注重授权。

OAuth涉及三个角色:

consumer 消费方(client)

service provider 服务提供方(server)

user 用户(resource owner)

 

川中胡子
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
YARN与npm
Mar.三月
02-24 2377
最近都在一门心思专注于java,很久没有碰过js,熟悉前端的同学 对npm和yarn在熟悉不过了。 怎么说呢,java这个领域是很广,作为一个成熟专业的java开发来,生态java是你必须掌控的,但是对于整个产品、项目的把控上,也是为了 更好的开发系统而言,后端稍微懂一些前端的东西还是很有必要的,不然就会出现接口设计不能很好满足前端需求。 进入正题:我目前在尝试本地启动前端vue,连接本地java服务,然后就整个全链路看清晰一些。 稍稍把这个东西搞明白之后,打算接着专供java服务。 yarn n
吴翰清:白帽子Web安全
02-21
安全宝副总裁、前阿里巴巴集团高级安全专家吴翰清将携他的《白帽子Web安全》一书做客问答栏目。以下为采访正文:吴翰清(刺哥/总,大风哥),安全宝副总裁,前阿里巴巴集团高级安全专家。毕业于西安交通大学少年班...
npm和yarn
盖丽男
06-05 9943
需要注意的是:npm 和 Yarn 都是通过 package.json 记录项目需要拉取的依赖模块npm(“Node 包管理器”)是 JavaScript 运行时 Node.js 的默认程序包管理器。它也被称为“Ninja Pumpkin Mutants”,“Nonprofit Pizza Makers”,以及许...
白帽子Web安全——世界观安全
独活
11-14 6138
一、web安全简史 1、不想拿“root”的黑客不是好黑客 2、在黑客的世界里,有的黑客,精通计算机技术,能自己挖掘漏洞,并编写exp;而有的黑客只懂得编译别人的代码,自己没有动手能力,这种黑客被称为脚本小子。在现实世界里,真正造成破坏的往往是脚本小子。 3、中国黑客的发展分为三个阶段:启蒙阶段、黄金阶段、黑暗阶段。黑暗阶段从几年前开始一直延续到今天,也许还将继续下去。 4、黑客技术:早期以系统软件居多,攻击系统软件往往能直接获取root权限web1.0时代:服务器端端脚本安全问题;we...
npm、yarn与pnpm详解
最新发布
Allen-
04-24 2023
在实际项目中,开发者可以根据项目的具体需求和团队偏好选择合适的包管理器。对于小型项目或者初次接触`Node.js`生态的新手,`npm` 可能是入门的最佳选择;而对于需要高效管理大型项目和依赖的大团队,`Yarn` 或 `pnpm` 则可能带来更高的效率和更好的资源管理效果。
白帽子Web安全》世界观安全
FangWenJing150的博客
03-25 1545
1.回顾了安全的历史。 2.阐述了安全的看法与态度。 3.提出了一些思考问题的方式以及做事的方法。
yarn与npm
m0_63757700的博客
04-08 3462
npm与yarn切换,详解npm,yarn
白帽子web安全 完整版
03-12
白帽子Web安全》是一本深入探讨网络安全领域中Web应用安全的专业书籍,全面覆盖了Web安全的基础理论、常见威胁及防御策略。随着互联网技术的不断发展,Web应用已经成为日常生活和工作中不可或缺的一部分,...
白帽子Web安全
01-16
白帽子Web安全》内容简介:在互联网时代,数据安全与个人隐私受到了前所未有的挑战,各种新奇的攻击技术层出不穷。如何才能更好地保护我们的数据?《白帽子Web安全》将带你走进Web安全的世界,让你了解Web安全...
白帽子Web安全(1).zip
08-06
综上所述,《白帽子Web安全》是一本全面且深入的Web安全指南,适合网络安全从业者、开发人员以及对此领域感兴趣的人士阅读学习。通过本书,读者不仅可以了解Web安全的各个方面,还能掌握实际操作中的防护技巧,...
学习web安全,强烈推荐这本《白帽子web安全》!
热门推荐
codedz的博客
05-29 2万+
Web是互联网的核心,是未来云计算和移动互联网的最佳载体,因此Web安全也是互联网公司安全业务中最重要的组成部分。 下面来看看几种常见的web漏洞: 1.XSS跨站脚本攻击 XSS跨站脚本攻击,通常指黑客通过”HTML注入”篡改了网页,插入了恶意的脚本,从而在用户浏览网页时,控制用户浏览器的一种攻击。XSS根据效果的不同还分为:反射型XSS、存储型XSS、DOM Based XSS   ...
白帽子Web安全》学习笔记
qq_53058639的博客
03-18 368
最近加入新公司后,公司的官网突然被Google标记为了不安全的诈骗网站,一时间我们信息技术部门成为了众矢之的,虽然老官网并不是我们开发的(因为开发老官网的前辈们全都跑路了)。我们花了很多时间做Web安全扫描以及修复,在检查和修复过程中,发现老系统的代码的不可维护性(再次说明整洁代码之道Clean Code的重要性)及安全性(同时也说明了Web安全的重要性)。修复之后,向Google提出了申诉,漫长的等待(1~2天对于公司的官网来说就是Money啊!)后Google放开了。
白帽子web安全 笔记(一)
qq_53137566的博客
06-21 337
第一章结束!
读书笔记】《白帽子web安全》我的安全世界观
uuzeray的博客
01-06 1202
即将考试周了,考前死盯着那几门复习不是我的作风,但花大功夫去学一些新的技术时间会有些吃紧。所以翻出这本尘封已久的道哥著作,挑战这本让三个月前的自己败下阵来的小部头,希冀每天有所思考有所沉淀,深化对web安全的理解。冷静下来,暂时从具体的技术细节脱身,冷静审视安全本身为何。“种一棵树的最好时间是十年前,其次是现在。
白帽子web安全(精写含思维导图)
加油~
06-06 6383
安全从业必读
白帽子web安全读后感
wswr的博客
03-11 997
第一章 我的安全世界观 安全问题本质就是信任问题【你总要制定一个基准以此判断是否安全,这个基准怎么理解呢,比方上传文件,做的限制和过滤就是一个基准,通过这个基准你去信任自己是否是安全的】 安全是一个持续的过程【攻防都在进步,道高一尺魔高一丈,不断出现的漏洞和对应补丁就是很好的例子去理解为什么持续的安全白帽子兵法: Secure by Default(默认的安全)一方面是白名单思想【黑名单存在被各种可能的绕过】,一方面是最小权限原则(最差的情况即使被攻克了,拿到的权限也不高) 纵深防御原则:一方
白帽子web安全读书笔记以及读后感
Alexz__的博客
06-15 1775
因为本书作于2010年前,书中所使用的部分技术版本已经过于老旧,很多书中提到的攻击方法和绕过思路都已经严重落后,但之所以本书会成为安全界的经典必读书目,就是因为本书所讨论的安全思想尤为精华,对于企业来说的安全建设十分有用,所以我打算读这本书的过程中主要记录下来一些重要的安全思路,绕过思想,重要的烧过姿势,不回去特意记录他所有的精工代码等等 对于IT这个领域来说10年的时间足矣改变整个行业的组织架构,走了很多,也来了很多 第一章 我的安全世界观 1.4 安全是一个持续的过程;破...
白帽子Web安全——客户端安全
u011423880的博客
07-27 626
一.跨站脚本攻击(XSS) 1.简介 XSS攻击,通常指黑客通过“HTML注入”篡改了网页,插入了恶意的脚本,从而在用户浏览网页时,控制用户浏览器的一种攻击。 2.类型 XSS根据效果的不同可以分成如下几类。 (1) 反射型XSS 反射型XSS只是简单地把用户输入的数据“反射”给浏览器。也就是说,黑客往往需要诱使用户“点击”一个恶意链接,才能攻击成功。反射型XSS也叫做“非持久型XSS”(Non-persistent XSS)。 (2) 存储型XSS 存储型XSS会把用户输入的数据“存储”在服务器端。这种X
yarn和npm的区别
weixin_49115151的博客
04-12 560
yarn和npm都是包管理工具,但是yarn是崭新的,经过重新设计的npm客户端,于2016年10月发布,相比于npm,yarn在运行速度上有显著的提升,安装时间变少,功能上也有很多改进。 yarn介绍: yarn是一种新的hadoop资源管理器,是一个通用资源管理系统,可为上层应用系统提供统一的资源管理和调度。 yarn的基本思想是将JobTracker的两个主要功能资源管理和作业调度/监控分离,主要方法是创建一个全局的ResourceManager和若干个针对应用程序的ApplicationMaster
白帽子web安全下载
07-23
白帽子Web安全下载是指他们通过分享自己的经验和知识,为广大用户提供一些有关Web安全方面的学习资料的过程。 在当前互联网环境下,网络安全问题日益突出,黑客攻击、数据泄露等威胁层出不穷。白帽子作为互联网...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值