该博客转自hangshao.tech,之前忘记在CSDN发布了。
今天是2020.11.19,我开始了第二次拜读《白帽子讲Web安全》。
记得大一的时候就买过这本书,不过奈何当时水平有限,实在是难以阅读下去,于是放弃。我想,在大三的时候再来重拾这本书,应该会有所收获,如果还能作一个总结,那便更好,所以现在陆陆续续地写一些吧,写一点发一点,或许全部写完的时候,已经是2021年了。(在写了在写了…)
第一章是巨佬吴翰清讲述他的安全世界观。这一章讲了中国黑客史,介绍了白帽子和黑帽子,揭示了他认为的安全问题的本质——信任问题,因此,划分不同的信任等级,并且划分不同信任域的边界显得尤为重要,数据从高等级信任域流向低等级信任域是不需要安全检查的,从低等级流向高等级则需要安全检查。
随后,书中资产划分、威胁分析、风险分析以及设计安全方案这些方面的内容,感觉是站在企业的高度,我目前没有什么深切感受,所以快速阅览,等到工作以后,再深入了解也不迟。
读完第一章最后一部分的内容——“白帽子兵法”,我很有感触,因为我做过一些CTF的Web题目,真的是与作者介绍的“白帽子兵法”呼应上了,下面总结一下作者所写的“兵法”吧。
白帽子兵法:
1.白名单、黑名单
黑名单容易遗漏一些情况,白名单更加安全,但也不是绝对的安全
2.最小权限原则
不要过度授权,