《白帽子讲web安全》读书笔记系列15:我(吴翰清)的安全世界观

最新推荐文章于 2021-11-14 22:53:20 发布
最新推荐文章于 2021-11-14 22:53:20 发布
阅读量613 收藏 1
点赞数 2
分类专栏: 系统安全 文章标签: 安全 吴翰清 本质

1、安全问题的本质是信任的问题;

安全是一个持续的过程;

安全三要素:

机密性 confidentiality 数据内容不能泄露,常用手段:加密

完整性 integrity 数据内容完整、不被篡改,常用手段:数字签名

可用性 availability 保护资源“随需而得”

 

安全评估:资产等级划分、威胁分析、风险分析、确认解决方案;

 

2、互联网安全的核心问题:数据安全

威胁分析建模:STRIDE

风险评估模型:DREAD

一个好的安全方案:

能够有效解决问题

用户体验好

高性能

低耦合

易于扩展与升级

 

3、白帽子兵法

1)Secure by default原则 可归纳为白名单、黑名单思想,应尽量使用白名单;

最小权限原则

2)纵深防御原则

a)要在不同层面、不同方面实施安全方案,避免疏漏,不同安全方案之间相互配合,构成一个整体;

b)要在正确的地方做正确的事情,即在解决根本问题的地方实施针对性的安全方案;

 

3)数据与代码分离原则 严防各种“注入”、“缓冲区溢出”

 

4)不可预测性原则 有效克服攻击方法,对抗基于篡改、伪造的攻击

川中胡子
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
白帽子Web安全
11-16 1万+
第一篇:世界观安全第一章:我的安全世界观一个网站的数据库,在没有任何保护的情况下,数据库服务端口是允许任何人随意连接的;在有了防火墙的保护后,通过ACL可以控制只允许信任来源的访问。这些措施在很大程度上保证了系统软件处于信任边界之内,从而杜绝了绝大部分的攻击来源。1.1.3Web安全的兴起常见攻击:SQL注入,XSS(跨站脚本攻击)“破坏往往比建设容易”,但凡事都不是绝对的。一般来说,白帽子选择的方
白帽子安全
08-14
网络安全,计算机入门,白帽子,黑客,脚本小子必看书籍
白帽子WEB安全--吴翰清.pdf
05-20
阿里巴巴知名安全大牛吴翰清所著书籍--《白帽子web安全
吴翰清web安全--安全概述
weixin_43873557的博客
09-10 291
安全三要素:机密性、完整性、可用性。
阿里研究员吴翰清:世界需要什么样的智能系统?
阿里技术
07-15 1834
阿里妹导读:吴翰清,被大家亲切地称为“小黑”“道哥”。他是阿里巴巴研究员,更是一位“白帽黑客”。15岁,考入西安交大少年班,毕业后应聘阿里。23岁,成为阿里最年轻的高级技...
吴翰清白帽子Web安全
02-21
安全宝副总裁、前阿里巴巴集团高级安全专家吴翰清将携他的《白帽子Web安全》一书做客问答栏目。以下为采访正文:吴翰清(刺哥/总,大风哥),安全宝副总裁,前阿里巴巴集团高级安全专家。毕业于西安交通大学少年班...
白帽子Web安全【高清】.pdf
07-24
根据给出的文件信息,本文件为《白帽子Web安全【高清】.pdf》,内容围绕Web安全白帽子以及安全入门等知识点展开。该书由道哥原作,旨在帮助读者了解和入门Web安全领域。 知识点一:Web安全的重要性 Web安全是...
白帽子web安全 完整版
02-06
白帽子Web安全》是一本全面探讨网络安全,特别是Web应用程序安全的专业书籍。"白帽子"一词在网络安全领域指的是那些通过合法手段发现并报告系统漏洞的安全专家,与之相对的是"黑帽子"黑客。本书的重点是教育读者...
白帽子Web安全——世界观安全
独活
11-14 6198
一、web安全简史 1、不想拿“root”的黑客不是好黑客 2、在黑客的世界里,有的黑客,精通计算机技术,能自己挖掘漏洞,并编写exp;而有的黑客只懂得编译别人的代码,自己没有动手能力,这种黑客被称为脚本小子。在现实世界里,真正造成破坏的往往是脚本小子。 3、中国黑客的发展分为三个阶段:启蒙阶段、黄金阶段、黑暗阶段。黑暗阶段从几年前开始一直延续到今天,也许还将继续下去。 4、黑客技术:早期以系统软件居多,攻击系统软件往往能直接获取root权限;web1.0时代:服务器端端脚本安全问题;we...
白帽子Web安全(pdf版)
12-28
(没有源码啊,不知道怎么删不掉标题上的这些)《白帽子Web安全》是2012年电子工业出版社出版的图书,作者是吴翰清。本书是根据作者若干年实际工作中积累下来的丰富经验而写成的,在解决方案上具有极强的可操作性,对安全工作者有很好的参考价值。
白帽子Web安全》高清完整版
01-26
白帽子Web安全》高清完整版《白帽子Web安全》高清完整版
阿里云安全科学家吴翰清入选MIT TR35_你知道弹性安全网络技术吗?
yunqishequ1的博客
08-18 3029
原文地址 2017年8月16日,《麻省理工学院科技评论》(MIT Technology Review)杂志揭晓2017年全球青年科技创新人才榜(TR35)评选结果,阿里巴巴集团人工智能实验室首席科学家王刚、阿里云首席安全科学家吴翰清脱颖而出,获此殊荣! 与王刚、吴瀚清一同上榜的还有谷歌大脑研究学家Ian Goodfellow,作为GANs之父,Ian Goodfello
读书笔记--《白帽子安全
weixin_30249203的博客
07-13 197
白帽子安全读书笔记: 阅读情况:全部看完 来源:kindle电子书 小结:书籍比较早,有些例子可能过时了,但是还是很适合我这种小白看可以系统的了解一下安全方面 属于科普书,里面罗列了常见的安全问题。 个人书籍摘要备忘: 1./浏览器安全/(1)同源策略:js跨域(2)沙箱:独立的tab页(3)恶意网址拦截:挂马网址黑名单 2./xss/跨站脚本攻击(1)反射型 向页面注射&...
白帽子安全》学习笔记(4)
sinat_34946888的博客
12-01 305
1、CSRF(Cross Site Request Forgery,跨站点请求伪造)是攻击者利用用户的身份操作用户账户的一种攻击方式,攻击者伪造请求,是建立在会话之上的。本质原因是重要操作的所有参数都是可以被攻击者猜到的。 2、CSRF攻击是黑客借助受害者的Cookie骗取服务器的信任,但是黑客并不能获取到Cookie,也看不到Cookie的内容。 2、浏览器的Cookie有两种,分为Sess...
白帽子web安全读书笔记系列8:访问控制
胡子的博客
03-26 328
1、权限控制(访问控制):某个主体对某个客体需要实施某种操作,系统对这种操作的限制即权限控制; 如网络中的ACL、OS中的文件访问控制、web应用的访问控制等 常见的web应用访问控制: 1)基于URL 2)基于方法(method) 3)基于数据 2、垂直权限管理 访问控制的实质:建立用户与权限之间的对应关系; 基于角色的访问控制Role-Based Access Contr...
天才黑客,阿里安全科学家吴翰清:做对事只能赢一场,跟对人可以赢一生!...
技术领导力
07-12 2954
点击“技术领导力”关注∆每天早上8:30推送作者|Emma编辑| Emma来源|技术领导力(ID:jishulingdaoli)近日吴翰清在微博发表的声明,引起网友的广泛讨论...
阿里云首席安全科学家吴翰清的思考:弹性安全网络,构建下一代安全的互联网
DONGYUXIA15810857916的博客
08-17 1249
点击查看全文  阿里云首席安全科学家吴翰清:前些天得知自己入选了MIT的TR35,非常开心。我想这是中国安全技术在国际上被认可的一次证明。但这个荣誉不仅属于我一个人,更属于我团队中所有为此做出过努力和贡献的人,也属于那些敢于和我们一起尝试最新技术的客户们,因为新技术在诞生之初往往是生涩的,但缺少了孵化过程中的磨难,我们永远见不到美丽绽放的那天。 8月16日,
白帽子Web安全》读后感 —— 对道哥的致敬
Fisher的安全日记
05-22 5429
白帽子Web安全》读后感 ——Deep Blue (一个安全小兵的感受)     这是一篇作业;这是一篇读后感;这是一篇记录安全的感悟;这是一篇对道哥的敬仰;这是我安全启蒙的钥匙...... 和《白帽子Web安全》的缘分来自一个小意外,在来大学之前的我选择了信息安全这个专业。通过各种渠道吧,我在方方面面了解到这个行业的那些事儿,一点一滴的积累这我的安全观。指导我遇见这本书,第一次
白帽子Web安全》- 吴翰清:揭示互联网安全之道
"白帽子Web安全 - 吴翰清著" 本书《白帽子Web安全》由资深安全专家吴翰清撰写,旨在帮助读者理解并应对互联网时代日益严峻的数据安全和个人隐私挑战。书中深入探讨了各种新兴的Web攻击技术,为读者揭示了Web...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值