读《白帽子讲Web安全》有感

最新推荐文章于 2022-03-11 17:22:38 发布
最新推荐文章于 2022-03-11 17:22:38 发布
阅读量1.6k 收藏
点赞数 1
分类专栏: Web安全 IT杂文
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45254208/article/details/112908962
版权

Web安全 信任问题 白帽子兵法 浏览器沙箱 XSS防护
关键词由CSDN通过智能技术生成

该博客转自hangshao.tech,之前忘记在CSDN发布了。

今天是2020.11.19,我开始了第二次拜读《白帽子讲Web安全》。

记得大一的时候就买过这本书,不过奈何当时水平有限,实在是难以阅读下去,于是放弃。我想,在大三的时候再来重拾这本书,应该会有所收获,如果还能作一个总结,那便更好,所以现在陆陆续续地写一些吧,写一点发一点,或许全部写完的时候,已经是2021年了。(在写了在写了…)

第一章是巨佬吴翰清讲述他的安全世界观。这一章讲了中国黑客史,介绍了白帽子和黑帽子,揭示了他认为的安全问题的本质——信任问题,因此,划分不同的信任等级,并且划分不同信任域的边界显得尤为重要,数据从高等级信任域流向低等级信任域是不需要安全检查的,从低等级流向高等级则需要安全检查。

随后,书中资产划分、威胁分析、风险分析以及设计安全方案这些方面的内容,感觉是站在企业的高度,我目前没有什么深切感受,所以快速阅览,等到工作以后,再深入了解也不迟。

读完第一章最后一部分的内容——“白帽子兵法”,我很有感触,因为我做过一些CTF的Web题目,真的是与作者介绍的“白帽子兵法”呼应上了,下面总结一下作者所写的“兵法”吧。

白帽子兵法:

1.白名单、黑名单

​ 黑名单容易遗漏一些情况,白名单更加安全,但也不是绝对的安全

2.最小权限原则

​ 不要过度授权,

最低0.47元/天 解锁文章
hangshao0.0
关注
专栏目录
【网络安全】基于OAST的SQL盲注
等风来
09-02 262
OAST (Out-Of-Band Application Security Testing) SQL 注入技术通过引发 DNS 交互或外部通信,能够识别异步处理过程中的漏洞。在漏洞挖掘中,大多数白帽子使用时间延迟型 SQL 注入来检测 SQL 注入漏洞。然而,某些情况下,时间延迟型 SQL 注入无法检测出存在的 SQL 注入漏洞,而基于 OAST 的 SQL 注入却能成功发现这些漏洞。
浅谈安全攻防场景下面的安全检测
si1ence的博客
03-12 1058
0x0背景 安全本质是人与人之间的对抗,攻防技术的更新迭代促进了行业的发展。虽然都是做在安全技术的研究,但是发现其实二个方向的工作思路上还是有较大的区别;防御者从多个维度针对某一类攻击手法进行全面剖析提出一个能够覆盖大多数攻击场景下面的方案。攻击者往往在多次攻击测试之后,只需要有跳跃性思路能够利用一些出其不意的姿势从一些技术点上突破防御即可,攻防技术相辅相成,相互进步。笔者在机缘巧合下从一个...
白帽子Web安全 书笔记一
03-12
自己写的关于《白帽子Web安全书笔记一
白帽子Web安全书笔记
飒然的天空
11-11 271
最近一直在忙着易信公众平台的开发工作,一直没能抽出空来总结一下。周末终于有了一些空闲,就把这本书的笔记写了一下。整本书四篇十八章,包括世界观安全、客户端脚本安全、服务端应用安全以及互联网公司安全运营四大部分。 一、世界观安全 1、黑帽子和白帽子这两个概念,前者指的是利用安全技术进行破坏的哪一类黑客,后者则指的是工作在反黑客领域的安全技术专家。 2、安全问题的本质是信任的问题。并且安全是一个持...
白帽子web安全书笔记以及读后感
Alexz__的博客
06-15 1863
因为本书作于2010年前,书中所使用的部分技术版本已经过于老旧,很多书中提到的攻击方法和绕过思路都已经严重落后,但之所以本书会成为安全界的经典必书目,就是因为本书所讨论的安全思想尤为精华,对于企业来说的安全建设十分有用,所以我打算这本书的过程中主要记录下来一些重要的安全思路,绕过思想,重要的烧过姿势,不回去特意记录他所有的精工代码等等 对于IT这个领域来说10年的时间足矣改变整个行业的组织架构,走了很多,也来了很多 第一章 我的安全世界观 1.4 安全是一个持续的过程;破...
白帽子web安全读后感2
南浦
02-13 2947
网络安全,本文是白帽子web安全读后感
白帽子web安全读后感1
南浦
02-07 2519
白帽子web安全读后感1 本文实际上算是白帽子web安全的回顾,总结了一些我觉得比较重要的关键词,方便以后复习.具体内容可以参考书 浏览器安全 本文对应第2章节,主要的内容是同源策略.当然也可以参考阮一峰老师的文章 终止就是要保证协议,域名和端口的一致,如果看到提示cros错误就要考虑这个问题. 另外现在app开发喜欢采用浏览器套壳的策略,同时还有h5小程序开发,总之前端技术大有可为. 跨站脚本攻击(XSS) 本文是第三章 跨站脚本攻击(Cross Site Script,简称 XSS),利用网页开发时
揭秘Web安全白帽子吴翰清的实战指南
白帽子 Web 安全》是由吴翰清撰写的专著,针对互联网时代的数据安全和个人隐私保护问题展开深入探讨。该书旨在帮助者理解和应对日益复杂的Web安全挑战,通过作者多年在实际工作中的丰富经验,为者提供了实用...
Web安全基础-网络安全行业入门的各项介绍
qq_46231152的博客
09-07 1395
一、黑客和白客的区别 黑客和白客主要的区别就是面对漏洞的处理方式不同:黑客往往会利用漏洞进行一些不正当的牟利的操作,会对他人造成一定的危害;而白帽子会把发现的漏洞提交给网站管理员或者应急响应平台,并以获得平台的奖励作为收入来源之一。例如当一个购物网站产生漏洞时,黑客往往想着怎么样通过这个漏洞装满自己的钱包,而白客则会将漏洞进行修复而减少商家的损失 感受: 技术是一把双刃剑,职业的性质取决与自己利用漏洞时的处理应对的方法和行为。能力越大,责任越大。 什么是Web应用? 能通过Web访问的各类网站就叫做Web
白帽子web安全读后感
wswr的博客
03-11 1039
第一章 我的安全世界观 安全问题本质就是信任问题【你总要制定一个基准以此判断是否安全,这个基准怎么理解呢,比方上传文件,做的限制和过滤就是一个基准,通过这个基准你去信任自己是否是安全的】 安全是一个持续的过程【攻防都在进步,道高一尺魔高一丈,不断出现的漏洞和对应补丁就是很好的例子去理解为什么持续的安全白帽子兵法: Secure by Default(默认的安全)一方面是白名单思想【黑名单存在被各种可能的绕过】,一方面是最小权限原则(最差的情况即使被攻克了,拿到的权限也不高) 纵深防御原则:一方
书笔记----白帽子web安全--2015-11-27
u010459047的博客
11-27 1234
一,浏览器的同源策略       1.为网站安全性考虑,是浏览器最基本的安全策略;限制俩只不同源的document脚本对当前的document脚本取或设置某些属性      2. 但是在浏览器中,某些标签是可以跨域加载资源:.,,利用这些标签加载其他未知文件会导致网站陷入不安全中      3. xmlhttprequest收到同源策略的约束,不能跨域访问资源。     4. ie8 c
白帽子web安全读后感之一
weixin_33928137的博客
09-02 316
本周的技术物是《白帽子web安全》。 这本书让我认识了吴翰清,一个年轻的技术大牛。安全宝的负责人之一。关于安全方面是个小白的我,觉得***防御真的很神奇,希望多少了解一些,于是选择了这本红皮书。 好了,转入正题。今天看了第一部分--世界安全观。是大概念上安全的意识,还算比较简单。总结一下: 1.安全问题的本质是信任的问题。一切安全设计的方案的基础建立在信任的关...
白帽子web安全 书笔记
think_ycx的专栏
04-18 1682
回顾一下经典
白帽子Web安全-书笔记
yourenshuo的博客
05-17 342
No Patch For Stupid!   在有人参与的情况下,再好的程序都有可能出现各种各样不可预知的情况。在安全领域也普遍认为,最大的漏洞是人!比如管理员的密码可能泄漏等,安全问题往往发生在一些意想不到的地方。     安全是什么?   安全问题的本质是信任的问题。把握信任条件的度,使其恰到好处,是设计安全方案的难点所在。   安全是一个持续的过程   防御技术和攻...
白帽子Web安全感受---01
康世行
01-14 1518
前言: 这本书我目前看了,百分之三十左右。这百分之三十的里面,让我印象最为深刻的是 “网络本来是安全的,因为有了研究网络的人所以不安全。”这句话听着确实有另一层含义,就好像说在没有开锁师傅的时候所有的锁都是安全的一样。 "安全" 这本书也提到了安全的基础是什么? 以及安全的前提条件! 并且以这些问题为话题讨论了,如果这些安全的前提条件不成立了会怎么样。本书到目前为止还有一个观点:所有的安全...
白帽子WEB安全——书笔记(一)
雨山林稀的博客
04-28 841
安全的三要素CIA:机密性(confidentiality)、完整性(integrity)、可用性(availability)。
白帽子Web安全》- 吴翰清著,揭秘互联网安全
"白帽子 Web 安全" 是一本由吴翰清编著的专业书籍,主要探讨了互联网时代的Web安全问题。这本书旨在揭秘黑客攻击技术,教导者如何保护数据安全和个人隐私,适合从初级到高级的安全从业者阅。 本书的内容涵盖...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值