初出牛犊的站长读《白帽子讲web安全》有感

初出牛犊的站长读《白帽子讲web安全》有感

一、前言—— 一百个读者的心目中有一百个哈姆雷特

前言的作者经历，会是每个初初恋上计算机的学生碰到的事。曾记得当时候，我第一次接触病毒是在初中的科技节。当时看到一个高三的哥哥，在人家公共演示的计算机主机，插入一块3.5寸盘时，loading了一个叫豆沙包的病毒。当时候，我觉得好神奇，神奇不在于他的病毒，在于他对计算机那种熟练的操作。

放学后，我去了电脑城，那时候还是56k上网时代，要用什么软件，游戏都要用5,6元购买。到了店内，我买了三国志7的光盘游戏同时，也翻了翻有什么碟子好买，“黑客训练基地”。老板看到之后，马上跟我说，这光盘很牛B的，拉登的阿尔盖大组织也是用这个光盘训练，我不喜买了回去，放在52x的CD-ROM，见鬼了，“萨满盾”的杀毒不断的报错。于是，我做出了一身人第一次比下松老师的片子更危险的事，裸奔运行碟子。之后不说了，我电脑被“拉登攻占了。”

这段经历我想很多人，住阅读作者的前言都会有不同的回忆，正所谓“一百个读者的心目中有一百个哈姆雷特 ”。

建议大伙可以尝试先从此书的前言开始阅读。

二、命令行coding练习为了什么——解Hacker的核心目的

说起haker，在阅读此书章节时，很多人都会认为黑客帅字了得，不是样子，而是hacker用的计算机，在破解的时候“刷刷刷”的画面，简直就是帅。我也曾试过，这种快感，只是在安装软件的时候感觉到，骗小朋友，我在你的机器上“写个qq进去”，弟弟说：“哥哥你很厉害啊。”

阅读到此书提及root的时候，我恍然大悟了。什么越狱，什么root机，其实也就是黑客的核心目的，控制系统所有的话事权。

对此，我也发表一下我对这一点的一个深入见解。大牛勿喷。

我觉得作为我们这堆不是小牛的站长，对于html或者asp的熟悉下，对于root机还是有差距，不是root的能力有差距，而是root之后，你也不知道控制了最高权限之后，能做什么。所以我们应该在结合自己的开发应用的同时，若果发现系统有某些权限需要逾越，需要突破，那才是你开始黑客，开始hack工序的一个开端。

因此我建议，做我们站长，先搞好二次cms开发，搞好移动端的app开发，应用好官方的api才是王道，才是深造黑客之路下的一次内功心法锻炼。

三、黑色链下的历史长河——明“道高一次魔高一丈”

在阅读的过程中，读者叙说了前段时间，比较火热的“csdn密码门”事件，整个黑色链条早已发展很久。只是一直都是暗地里面发展，但是防御的思路永远都是等黑客先出招，这好像不太合理，但是在计算机的世界里，有一条重要的法则，一直支持着“道高一次魔高一丈”的道理。（法则如下第六节）

四、XSS抛砖引肉

XSS的发展，对于每个站长还是非常陌生的，这里章节xss，作者用了进化论的叙述，讲及xss是如何诞生，这样让大家了解到，矛盾之争下，盾好像也是常常被各式各样的矛所刺穿。

五、可惜书名起得太好了——让你不戴上黑帽的造法，先给你带上白白的光环

当你阅读此书时，作者不断在叙述如何去破解，破译，讲解一些技术可行性时，慢慢被吸引后，刹车的感觉出现了。作者写这本书是让我们都戴上白帽，并不是充满破坏性的黑帽。原来作者说了这么多的黑暗邪恶的技术，与一些操作原来都是抛砖引肉，让我们院里黑帽，走上更高尚，更华贵的白帽技术，享受白帽的那种快感。

六、哲学下参透安全性问题——没有银弹

戴上白帽之前，作者说个一条法则，支撑着“道高一次魔高一丈”的道理，这就是“没有银弹”。其实越往上游，你会发现，哲学是指导很多行业，或者说是学术的发展，安全技术也不例外。

七、房间关灯——明白hacker的艺术并不是杀鸡取卵

Hacker其实是一门艺术。试想下，你要关别人房间的灯时，你可以用弹叉把灯打烂，但是这样打草惊蛇的做法，并不是艺术。Hacker的艺术是更多的是，悄悄变成房东，打开你的门，然后按下开关，还对你说，我要关灯了，然后去你抽屉里面把钱拿走。这就是root，一个取得最高权限的方法。

八、大牛该看的章节——安全技术评价与分析

试读章节下，有说一个系统设计前，或者对现有系统的一个安全评测。这非常有条理，数学的条理性和整合性很强，这样对于一些研究数据，或者大公司使用系统时，安全系数的把握更好。

九、百度一下小知识——SSH端口

Shh端口我没曾听过，于是百度了一下相关的知识，当时一个增值阅读。

“默认情况下，ssh开放的端口服务是22.  有的时候为了安全或者个人习惯呢。 需要修改掉linux下的这个远程开放端口。”

十、安全技术营销应看的章节——安全的讲价技巧

比较安全的系统架构，就是系统默认的安全权限。这里我不用作者教大家怎么说服客户的话了，大家可以去看看他是怎么说，怎么要求的。

十一、姜太公钓鱼——懂浏览器的重要性，引猎豹360之争吗？

后面章节终于涉及，站长们的挚爱，涉及钓鱼的问题。钓鱼程序更多的是利用样式表的一些改动，结合iframe去做到。

最有趣的是让我看清楚浏览器的重要性，浏览器在运行快的同时，而且要讲究安全。如果过滤这些样式表，或者iframe，js的一些短板呢？这需要很高效的算法，这让我想起，读书的时候，无论是c语言，java语言，老师都重申字符处理是很重要的，当时觉得不以为然，觉得字符嘛，不就是读跟写，写字一样就可以了。现在，明白浏览器的角色就像跟黑客玩填字游戏一样，大家都在看互相的招式，然后一一封堵。未来2年会是猎豹浏览器与360浏览器之争吗？

<!--EndFragment-->