Web安全-世界观-安全审计

已于 2023-01-12 17:38:34 修改
阅读量126 收藏
点赞数 1
分类专栏: web安全 文章标签: web安全 网络安全 安全架构 安全 Powered by 金山文档
于 2023-01-12 17:35:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_75121443/article/details/128663658
版权

安全评估的实施被分为4个阶段:

资产等级划分

威胁分析

风险分析

确认解决方案

·当面临的是一个尚未实施过安全评估的方案时,应该按顺序依次进行

而如果是一个由安全团队长期维护的系统,那么有些阶段可以只实施一次。

在上一个阶段将决定下一个阶段的目标,需要实施到什么程度。

·互联网安全的核心问题,是数据安全的问题。

·很多人认为安全和业务是冲突的,因为往往为了安全,要牺牲业务的一些易用性或者性能。

作者认为这是不正确的,从产品角度来说,安全也应该是产品的一种属性。

一个从未考虑过安全的产品,至少是不完整的

·我们不能使用“粗暴”的安全方案去阻碍产品的正常发展,所以应该形成这样一种观点:

没有不安全的业务,只有不安全的实现方案

在设计产品安全方案时要保证尽可能的不要改变产品需求的初衷

即能够有效的抵御威胁、不能干涉产品发展、性能上不能拖后腿

一个好的方案,要有持续改进的能力和现实

·总结:

一个优秀的安全方案应该有以下特点:

能够有效的解决问题

用户体验好

高性能

低耦合

易于扩展与升级

白牧羊人
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Web安全-世界观-安全三要素
qq_75121443的博客
01-12 603
web安全学习历程
Web安全-世界观-白帽子兵法
qq_75121443的博客
01-12 218
web安全学习经历
《白帽子讲web安全》我的安全世界观
weixin_49472648的博客
03-21 3646
文章目录我的安全世界观前言安全工程师的核心竞争力白帽子的使命现状里程碑安全的本质安全三要素如何防范安全问题?安全评估步骤资产等级划分:威胁分析(确定攻击面):风险分析:设计安全方案白帽子兵法一、Secure By Default 原则二、Defense in Depth(纵深防御) 原则三、数据与代码分离原则四、不可预测性原则总结 我的安全世界观 前言 互联网本来是安全的,自从有了研究安全的人以后,就变得不安全了。 漏洞只是对破坏性功能的一个统称而已。 我们定义一个功能是否是漏洞,只看后果,而不应该看过
白帽子(1)-web世界观
CPriLuke的博客
06-21 380
基本概念 安全问题本质是信任问题 设计安全方案的基础都是建立在信任关系上的,我们必须相信一些东西,必须有一些基本的假设,安全方案才能建立。 安全是一个持续的过程 安全是一个持续的过程,攻击方式在变,防御方式也在变 安全要素 CIA 名称 英文名 说明 机密性 confidential 要求保密的数据内容不能被泄露 完整性 integrity 数据不能被篡改,是完整的 可用性 availability 保护资源可以得到,DOS 扩充的一些要素:可审计性和不可抵赖性
安全L2-1.4-安全术语介绍
Knowledge warehouse
09-17 889
一、什么是漏洞? 0Day漏洞: “零日漏洞”(zero-day)又叫零时差攻击,是指被发现后立即被恶意利用的安全漏洞。 通俗低讲,即安全补丁与瑕疵曝光的同一日内,相关的恶意程序就出现。 这种攻击往往具有很大的突发性与破坏性。人们掌握的安全漏洞知识越来越多,就有越来越多的漏洞被发现和利用。 一般使用防火墙、入侵检测系统和防病毒软件来保护关键业务IT基础...
web安全--读书笔记
u010129251的专栏
09-15 646
第一篇世界观安全  第1章我的安全世界观2  1.1Web安全简史2  1.1.1中国黑客简史2  1.1.2黑客技术的发展历程3  1.1.3Web安全的兴起5  1.2黑帽子,白帽子6  1.3返璞归真,揭秘安全的本质7  1.4破除迷信,没有银弹9  1.5安全三要素10  1.6如何实施安全评估11  1.6.1资产等级划分12  1.6.2威胁分析13  1.6
白帽子讲web安全(精写含思维导图)
加油~
06-06 7038
安全从业必读
红队系列-网络安全知识锦囊(持续更新)
aming小老弟
11-09 771
AJP13是定向包协议。因为性能原因,使用二进制格式来传输可读性文本。AJP协议:WEB服务器通过TCP连接和SERVLET容器连接。为了减少进程生成socket的花费,WEB服务器和SERVLET容器之间尝试保持持久性的TCP连接,对多个请求/回复循环重用一个连接。一旦连接分配给一个特定的请求,在请求处理循环结束之前不会在分配。换句话说,在连接上,请求不是多元的。这个是连接两端的编码变得容易,虽然这导致在一时刻会有很多连接。
《白帽子讲Web安全》| 学习笔记之世界安全
qq_42646885的博客
07-08 257
这段时间跟着合天网安实验室对相关网络安全知识的学习,让我对网络安全有了一些基本的概念。接下来的时间想重点放在针对CTF的入门练习及提高上。第一步先从CTF-WEB开始时。近日跟着教程做了几个实验后,觉得自己掌握的知识太分散,没有经过体系的学习和吸收,在面对问题的时候不知道该怎样解决。所以选择通过看书再次学习和总结。 第一篇世界安全观 1、对于现代计算机系统来说,在用户态的最高权限是root(...
Web安全.pdf
04-09
Web安全》一书是吴翰清著作,深入讲解了Web安全领域中众多关键知识点,包括白帽子视角下的安全世界观、客户端脚本安全、服务器端应用安全以及互联网公司的安全运营实践。 首先,从安全世界观开始,吴翰清为读者...
知道创宇代码审计与渗透测试内部培训教材.rar
04-04
这份教材包含了多个主题,如"我的安全世界观"、"代码审计与渗透测试"以及"WEB2.0下的渗透测试",每个部分都为学习者提供了丰富的实践经验和理论指导。 首先,"我的安全世界观"部分可能阐述了网络安全的基础理念,...
网络安全】服务基础第一阶段——第二节:Windows系统管理基础----虚拟化IP地址以及用户与组管理
goldfish8848的博客
08-25 1462
不同的用户身份拥有不同的权限,每个用户包含一个名称和一个密码,用户账户拥有唯一的安全标识Windows系统中,每个用户账户都有一个独特的安全标识符(SID,Security Identifier)它在系统内部用于控制对各种资源的访问权限。我们可以通过不同的方法查看用户的SID:1.使用命令提示符(CMD)这里的CMD就是我们常用的命令提示符(类似于终端的那个窗口),输入命令来查看当前登陆用户的SID如果需要查看特定用户的SID,可以使用命令。
网络安全售前入门06安全服务——基线检测服务方案
打工人
08-30 896
安全基线检查可以帮助单位认清自身风险现状和漏洞隐患,使业务系统的风险维持在可控范围内。根本目的是保障业务系统的安全,是为了避免人为疏忽或错误,或使用默认的安全配置,给业务系统安全造成风险而制定的安全检查标准,并且采取必要的安全检查措施,使业务系统达到相对的安全指标要求。
人工智能在网络安全领域的应用探索
A526847的博客
08-29 662
随着网络技术的飞速发展,网络安全问题日益凸显,成为制约数字化进程的重要瓶颈。人工智能(AI)作为一种变革性技术,正逐步在网络安全领域展现出其巨大的潜力和价值。本文旨在探讨人工智能在网络安全领域的应用现状、优势、挑战及未来发展趋势。
如何用3个月零基础入门网络安全?_网络安全零基础怎么学习
最新发布
2401_84466224的博客
08-30 806
我们知道计算机最早是在西方发明出来的,很多名词或者代码都是英文的,甚至现有的一些教程最初也是英文原版翻译过来的,而且一个漏洞被发现到翻译成中文一般需要一个星期的时间,在这个时间差上漏洞可能都修补了。”答案是否定的,黑客用的电脑,不需要什么高的配置,只要稳定就行.因为黑客所使用的一些程序,低端CPU也可以很好的运行,而且不占什么内存.还有一个,黑客是在DOS命令下对进行的,所以电脑能使用到最佳状态!观看学习近十年所有0day挖掘的帖,然后搭建环境,去复现漏洞,去思考学习笔者的挖洞思维,培养自己的渗透思维。
网络安全】分析重置密码功能实现账户接管
等风来
08-26 137
点击了重新发送电子邮件的按钮后,我在攻击者的邮箱得到了受害者的重置密码链接,从而实现了账户接管。
信息安全--网络安全体系与安全模型(二)
m0_60936698的博客
08-30 522
■ 等级保护分为五个:第一级(用户自主保护级)、第二级(系统审计保护级)、第三级(安全标记保护级)、第四级(结构化保护级)、第五级(访问验证保护级)。■ ①扩大了对象方位,将云计算、移动互联、物联网、工业控制系统等列入标准范围,构成了“网络安全 通用要求+新型应用的网络安全扩展要求”的要求内容。■ 管理手段:包括安全评估、安全监管、应急响应、安全协调、安全标准和规范、保密检查、认证和访 问控制等;管理目标: (大)政治、经济、文化、国防安全等,(小)网络系统的保密、可用、可控等。·监督安全项目的实施;
入门网络安全工程师要学习哪些内容
白帽子佳奇的博客
08-30 458
大家都知道网络安全行业很火,这个行业因为国家政策趋势正在大力发展,大有可为!但很多人对还是不了解,不知道需要学什么?知了堂小编总结出以下要点。是一个概称,学习的东西很多,具体学什么看自己以后的职业定位。如果你以后想成为安全产品工程师,学的内容侧重点就和不一样,如果你想成为安全开发工程师,学的侧重点就和安全不一样。学的东西很泛,但选定方向就简单了。大致的学习流程总结就是:网络基础、操作系统、中间件、数据库。其中电脑基础:像系统Windows基础和Linux基础、HTML基础、代码JS基础等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值