web安全之路(一)

最新推荐文章于 2024-07-02 18:15:05 发布
最新推荐文章于 2024-07-02 18:15:05 发布
阅读量337 收藏
点赞数 1
分类专栏: 安全之路 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43153759/article/details/86652481
版权

懂防必先懂攻

信息安全是世界永恒不变的需求

安全三要素

  1. 机密性:
    要求保证数据内容不能泄露,加密是实现机密性要求的常见手段。要求保证数据内容不能泄露,加密是实现机密性要求的常见手段。常见的加密算法有DES,3DES,MD5,BASE64,AES,RSA,SHA-xxx等(以后会写密码学相关部分的加密算法部分)。
  2. 完整性:要求保证数据内容是完整的,没有被篡改的。常见的保证一致性的手段是数字签名。数字签名保证信息传输的完整性、发送者的身份认证、防止交易中的抵赖发生。
  3. 可用性:要求保护资源是“随需而得”。涉及到的常见的是拒绝服务攻击(DoS)。拒绝服务攻击破环的是安全的可用性。
  4. 后续要素:可审计性,不可抵赖性等。

实施安全评估的步骤:


互联网的核心问题就是数据安全问题,数据无价。

资产等级划分:一个组织看重的是什么然后将其视作什么的地位来划分等级。
在这里插入图片描述
威胁分析:尽可能的将威胁找出来。微软威胁建模STRIDE模型(6个单词的首字母缩写)。
在这里插入图片描述
风险分析:权衡事件发生的可能性,以正确的判断出风险。微软风险建模DREAD模型。
风险有高低:Risk=Probability*Damage Protential
在这里插入图片描述
此次区分威胁和风险的区别,不能将其视作一物:一盗贼可能要来偷我包里的一百块钱,我将盗贼视作威胁,而我可能会失去一百块钱,我将这种损失视作风险。

确认解决方案:安全评估的产出物就是解决方案。

设计解决方案的一些基本原则

  1. Secure By Deafault原则:黑名单,白名单,最小权限原则。
  2. Defense in Depth(纵深防御)原则:首先从不同层次,不同角度设计解决方案,然后要在正确的地方做正确的事情。
  3. 数据与代码分离原则:写过几亿行代码的你懂的。
心中无码的程序猿
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
零基础必看的六大Web安全常见漏洞及防范措施
hack0919的博客
05-29 888
本文主要侧重于分析几种常见的攻击的类型以及防御的方法
web安全是什么_主要分为哪几部分_
xnxqwzy的博客
11-09 279
随着web2.0、社交网络、微博等等一系列新型的互联网产品的诞生,基于web环境的互联网应用越来越广泛,企业信息化的过程中各种应用都架设在web平台上,web业务的迅速发展也引起黑客们的强烈关注,接踵而来的就是web安全威胁的凸显。黑客利用网站操作系统的漏洞和web服务程序的SQL注入漏洞等得到web服务器的控制权限,轻则篡改网页内容,重则窃取重要内部数据,更为严重的则是在网页中植入恶意代码,使得网站访问者受到侵害。这也使得越来越多的用户关注应用层的安全问题,对web应用安全的关注度也逐渐升温。
什么是Web安全
qq_53058639的博客
03-16 683
Web安全主要有如下几大分类XSSCSRF(跨站请求伪造)SQL注入命令行注入DDos注入流量劫持。
【2024最新版】从零基础入门Web安全(超详细),收藏学习这一篇就够了_web安全入门
最新发布
weixin_57514792的博客
07-02 576
从零基础入门Web安全(超详细)
web安全是什么?
athena1999的博客
01-31 682
web安全是什么?
web 安全总结
qq_40898302的博客
10-17 6168
web安全总结
第一章 Web安全概述1
08-03
Web安全是一种保障Web应用程序和网站免受恶意攻击和非法访问的安全措施。随着互联网的普及和Web应用程序的广泛应用,Web安全变得越来越重要。 1. Web安全的重要性 Web安全的重要性体现在以下几个方面: * 保障...
安全Web安全学习笔记
02-26
说来惭愧,6年的web编程生涯,一直没有真正系统的学习web安全知识(认证和授权除外),这个月看了一本《Web安全设计之道》,书中的内容多是从微软官方文档翻译而来,这本书的含金量不高,不过也不能说没有收获,本文...
WEB安全入门基础.pptx
08-24
DOS 命令是 WEB 安全中的一个重要组成部分,了解 DOS 命令可以帮助我们更好地进行 WEB 安全测试。DOS 命令包括 Cd、Dir、More、Type 等命令,这些命令可以帮助我们管理文件和目录。 信息收集 信息收集是 WEB 安全...
web安全之XSS攻击demo
04-18
在提供的"web安全之XSS攻击demo"中,我们可以看到index.html文件可能包含了一个易受XSS攻击的页面结构,jquery.min.js可能是用来处理页面交互的JavaScript库,而demo文件可能是一个用于演示如何实施或防止XSS攻击的...
什么是Web安全?Web安全又分为哪几个部分?Web安全又该如何学习?
BlueSocks152的博客
04-19 1160
网络安全是一个非常庞大的体系,范围非常之大,被分为很多种类型,web安全就是其中之一,也是网络安全技术中非常重要的领域。那么web安全是什么?主要分为哪几部分?以下是详细的内容介绍。
2023年零基础自学网络安全/Web安全,看这一篇就够了
2201_75934622的博客
01-04 200
随手写写关于web安全的内容,希望对初次遇到web安全问题的同学提供帮助。作为一个安全从业人员,我自知web安全的概念太过于宽泛,我本人了解的也并不够精深,还需要继续学习。但又不想新入行的人走弯路,所以今天随手写写关于web安全的内容,希望对初次遇到web安全问题的同学提供帮助!如果你真的想通过自学的方式入门web安全的话,那建议你看看下面这个学习路线图,具体到每个知识点学多久,怎么学,自学时间共计半年左右,
DREAD风险评估模型
王教主的博客
04-08 8008
风险评估模型很重要,任何一个风险,需要经过系统的评估才能确定风险的实际危害程度。毕竟安全也是一门科学。 本文介绍DREAD风险评估模型。 DREAD是原来微软的风险评估威胁系统的一部分。这里有一篇微软的论文 link。由于此模型不稳定,比如可发现性难衡量、可复现性很多场景下不重要等,实际使用过程中有时评分十分不准确,所以微软在2008年可能弃用了此模型,例如,在ASRC中,微软使用Bug Bar来定义威胁风险。 DREAD提供了5个维度,进行威胁评级,每个维度0-10分。通过最后的评分确定威胁的严重程度。
我的Web安全之路
The__DeepSea的博客
03-19 1016
一、写给自己  出于自己的专业以及自己的兴趣所导,选择了Web安全这个方向来深入的学习,目前只是一个大二的学生,需要学习的东西还有许多,也对自己即将进入Web安全学习的时候理清学习的思路。二、如何学习  知乎上余弦先生以及其他大牛对于“零基础如何学习Web安全”的回答对我以后的学习有着很重要的作用,具体网址我放这里给想看的人参考一下 (https://www.zhihu.com/question/...
我的安全之路——Web安全
热门推荐
giantbranch的专栏
04-08 1万+
write in my dormitory at ‏‎9:47:05 Friday, April 7, 2017 by giantbranch(一个当初想横跨web跟二进制的菜鸡)————致即将毕业的自己。这是我的安全之路系列第一篇,敬请期待第二篇:《我的安全之路——二进制与逆向篇》总览大一:基本都在学习学校的课程,C语言,C++,高数啊,不过分数还可以,在大一复习周还在php3小时光速入门呢大二
Web安全概述
木可大大
03-08 5747
互联网刚开始是安全的,但是伴随着黑客(Hacker)的诞生,互联网变得越来越不安全。任何一个事情都有两面性,黑客也有好有坏,好的黑客叫白帽子,坏的黑客叫黑帽子。与此同时,随着Web技术发展越来越成熟,而非Web服务(如Windows操作系统)越来越少的暴露在互联网上,现在互联网安全主要指的是Web安全。既然要讲Web安全,首先介绍什么是安全安全的本质是什么?引用《白帽子讲安全》里对安全的定义:安...
web安全之路
GitChat
11-24 202
我按照我曾经的路程为大家梳理一下怎么学习安全有关的知识,怎么样入门,需要哪些知识,文章我会选择一个月一更,时间和精力有限,故时间较长,我知道最好的学习方法就是和大家分享,这样才能的到最好的反馈,安全这条道路是枯燥和孤独的,但我还是希望能够有更多的人投入到安全的行业,后续我会拿很多实战来为大家讲解相关知识点。 本次chat会谈到以下内容: 1:我的安全观以及我为何走上这条道路 2:怎么才算入...
Web安全实践:工具篇
了解并熟练使用这些工具,是Web安全实践的第一步。在实际操作中,这些工具可以帮助安全专家检测潜在的安全漏洞,模拟攻击,从而更好地保护Web应用程序。此外,它们也有助于开发人员在开发过程中进行安全测试,确保...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值