Web安全越来越成为互联网时代的一个重要因素,很不容易的,终于看到了一本web安全方面的新书。最近一年来,我本人也一直在研究web安全的相关内容,也有了一定的了解和认识。相关的书读了不少,包括黑客攻防类的,0day安全类的,再看此书的试读章节,难免会与其他书做个比较。本书相对于其他同类型书来说,最大的特点就是作者喜欢用实例说话,在讲解每个关键点的时候都会举出恰到好处的例子来帮助我们理解,这方面在第十章和第十二章最为明显,更加有利于大家的学习。
接下来我就结合我自身的知识将试读章节中的内容总结概括下:
首先,书的副标题告诉我们本书的web安全是基于OWASP Top10的安全威胁。很多朋友都不太知道owasp top10的威胁都包含什么。我先在这里做个简单介绍:
Owasp全称是Open Web Application Security Project,即开放式Web应用程序安全项目。它是一个非盈利组织,主要提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。具体关于这个组织的一些信息请各位移步baidu。我这里主要介绍下top10;
所谓的top10是指The top 10 most critical web application security risks(Web应用的十大关键风险),目前的十大安全隐患包括:
注入
跨站脚本(XSS)
错误的认证和会话管理
不正确的直接对象引用
伪造跨站请求(CSRF)
安全性误配置
限制远程访问失败
未验证的重定向和传递
不安全的加密存储
不足的传输层保护
所以,最近两到三年,基于上述10个安全隐患的web攻击是最多且不断进化的,作为一个web开发者,或是测试人员、安全工作者、项目经理都需要将安全重视起来。
接下来我将试读章节的内容做个简单的总结。
第六章为我们介绍的是三个安全扫描工具:WebInspect、w3af和Ratproxy。目前比较流行的安全扫描工具还有一个与WebInspect齐名的AppScan,除此之外还有一个轻量级开源的Paros,上面的工具各有所长,概括来说HP的Webinspect和IBM的AppScan是基于企业级web应用,做出最详尽的安全测试审计报告,相对适合安全工作者使用参考;w3af和paros同样作为自动安全扫描工具则相对较轻量级,更便于使用和与项目集成,相对是更加适合于开发人员使用;Ratproxy的最大特点是被动扫描,即你在测试功能同时完成扫描,所以更加适用于测试人员。当然,上述工具对于大家来说更多了解就更好了。同样,不可避免的,所有的工具都存在错报和漏报的问题,这时候需要我们运用自己的安全知识来“火眼金睛”的辨识漏洞的真实性。
第十章主要介绍的是失效的身份认证和会话管理。从10年开始,会话令牌作为互联网一个重要的因素就被不断的攻击。章节中为我们介绍了攻击的方法和防治的措施,已经非常详尽,有兴趣的朋友可以阅读参考。对于我而言,我最本章最感兴趣的是双因子认证。
双因子认证是基于HMAC-based One-time Password Algorithm,也就是HMAC一次性密码算法的安全认证服务。
因为secret key 的QR Code 只会发在各个用户的手机上,并且每个用户都知晓自己的密码,从而实现了双因子认证。这样,即使别人知道了你的密码,但他不会有你的手机,无法登录;即使别人不小心拾到了你的手机,但是他不知道你的密码,也无法登录。这就是双因子验证的强大功能。目前双因子验证虽然安全,但却并不十分便捷,所以在大多数网站中没有使用其作为登录模式,但是现在的支付接口却很多运用了此项技术,相信我这么一说,大家就可以想象到了。
第十二章为我们介绍的是CSRF,跨站请求伪造。听起来很像XSS,但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。
CSRF的常见特性:
l 依靠用户标识危害网站
l 利用网站对用户标识的信任
l 欺骗用户的浏览器发送HTTP请求给目标站点
介绍就到这里,具体的原理和测试方法、防范方法都在章节中结合例子和工具有更细致的讲解,我就不在这里赘述了,总体来说,CSRF虽然攻击较少,但防范难度更大,网站中的任何图片、链接都有可能带你走向万丈深渊,所以也是所有it安全工作者需要防范的一个环节。
介绍了这么多,这貌似是我写的较长的一篇读书笔记了,主要也是对安全方面有一定的了解,所以洋洋洒洒写了如此多的内容。互联网需要一个安全的环境,而安全的环境需要每个it工作者为之努力奋斗,所以,让我们努力,别让谁动了我们的web安全!
相关推荐
压缩包中的文件名“Web应用安全威胁与防治——基于OWASP_Top_10与ESAPI_试读样章.pdf”揭示了这份资料可能来源于一本书的一部分,书中可能会详细探讨Web应用面临的十大安全威胁(OWASP Top 10),这是由OWASP(开放...
内容概要:本文详细介绍了应用于电镀生产线的西门子S7-300 PLC控制系统的程序设计、硬件配置以及调试过程中积累的实际经验。主要内容涵盖温度控制、条码记录、行车定位、故障排查等方面的技术细节。文中展示了多个关键功能模块的具体实现方法,如PID温度控制、条码数据处理、行车定位判断等,并分享了一些实用的调试技巧和注意事项。此外,还讨论了硬件配置中的重要细节,如模块地址分配、网络拓扑设计等。 适合人群:从事自动化控制领域的工程师和技术人员,尤其是对PLC编程有一定基础的人群。 使用场景及目标:适用于需要深入了解和掌握电镀生产线自动化控制技术的专业人士。目标是帮助读者理解S7-300 PLC在电镀生产线中的具体应用,提高实际项目的开发效率和可靠性。 其他说明:文章不仅提供了详细的程序代码示例,还分享了许多来自一线的真实案例和实践经验,对于解决实际工程中的问题具有很高的参考价值。
内容概要:本文详细介绍了使用COMSOL Multiphysics进行固体超声导波的二维仿真过程。作者通过建立一个10mm×100mm的铝板模型,应用汉宁窗调制的5周期200kHz正弦激励信号,研究了超声导波在铝板中的传播特性及其模式转换现象。文中涵盖了从模型构建、材料参数设置、网格划分、边界条件设定、激励信号施加到求解设置以及结果分析的完整流程。特别强调了汉宁窗调制的作用,即减少频谱泄漏并提高信号质量。 适合人群:从事超声检测、材料科学、物理学等相关领域的研究人员和技术人员,尤其是那些希望深入了解COMSOL仿真工具及其在超声导波研究中应用的人群。 使用场景及目标:适用于需要精确模拟超声波在固体介质中传播的研究项目,旨在验证理论预测、优化实验设计、评估不同材料和结构对超声波的影响。此外,还可以用于教学目的,帮助学生掌握COMSOL软件的操作方法和超声导波的基础知识。 其他说明:文中提供了详细的参数设置指导和代码片段,有助于读者快速复现仿真过程。同时,作者分享了一些实用技巧,如如何正确设置网格大小、选择合适的窗函数等,以确保仿真结果的准确性。
离职人员分析仪表盘.xlsx
内容概要:本文详细介绍了如何利用LabVIEW搭建一个多功能的虚拟函数信号发生器及其信号分析功能。首先,文章展示了如何通过LabVIEW的前面板和程序框图创建各种常见波形(如正弦波、方波、三角波等),并深入探讨了波形生成的具体实现方法,包括三角波的周期性和斜率计算、白噪声的生成以及自定义公式的解析。接着,文章讨论了信号处理的关键技术,如自相关分析、频谱分析、积分和微分运算,并提供了具体的实现代码和注意事项。此外,文中还分享了一些实用的经验和技术细节,如避免频谱泄漏的方法、处理多频波的技术、防止内存泄漏的措施等。 适用人群:从事信号处理、电子工程、自动化控制等领域的工作技术人员,尤其是那些熟悉或希望学习LabVIEW编程的人士。 使用场景及目标:适用于实验室环境或教学环境中,用于替代传统物理信号发生器进行信号生成和分析实验。主要目标是提高信号生成和分析的灵活性和便捷性,减少对昂贵硬件设备的依赖。 其他说明:本文不仅提供了详细的代码示例,还分享了许多作者在实践中积累的经验教训,帮助读者更好地理解和应用LabVIEW进行信号处理。
线性代数
大雾至尊版V56泛滥无密码.zip
员工生日关怀方案
试用期情况跟踪表.xls
员工激励机制与技巧
员工晋升的自我评价.doc
基于51单片机protues仿真的多功能婴儿车控制器(仿真图、源代码、AD原理图) 该设计为51单片机protues仿真的多功能婴儿车控制器,实现温湿度,音乐,避障,声音监测控制; 1、温湿度检测,婴儿尿湿时会有提醒。 2、声音检测,当婴儿啼哭时也会有提醒。 3、小车避障,小车遇到障碍会后退左转。 4、音乐播放。 5、仿真图、源代码、AD原理图;
内容概要:本文档详细介绍了计算机求职笔试的内容与解答,涵盖编程语言基础、数据结构与算法、编程实践与调试、系统设计与软件工程以及综合题型与开放题五个方面。编程语言基础部分强调了语法规则、数据类型与运算符、面向对象编程的核心概念;数据结构与算法部分讲解了常见数据结构(如线性结构、树与图、哈希表)和高频算法(如排序算法、动态规划、递归与回溯);编程实践与调试部分关注编码能力和调试技巧;系统设计与软件工程部分探讨了设计模式、模块化设计、数据库与网络知识;综合题型与开放题部分则提供了场景题和逻辑思维题的示例。最后给出了备考建议,包括知识体系构建、刷题策略和模拟实战的方法。 适合人群:即将参加计算机相关职位笔试的求职者,特别是对编程语言、数据结构、算法设计有初步了解的应届毕业生或初级工程师。 使用场景及目标:①帮助求职者系统复习计算机基础知识,提升笔试通过率;②通过例题和解答加深对编程语言、数据结构、算法的理解;③提供模拟实战环境,提高时间管理和抗压能力。 阅读建议:建议按照文档提供的知识体系顺序进行系统复习,重点攻克高频题型,利用在线平台刷题练习,并结合实际项目经验进行综合应用,同时注意时间管理和抗压能力的训练。
SecureCRT安装包
物流业人才流失与紧缺现象的对策研究
招聘渠道费用仪表盘P10.pptx
内容概要:本文详细介绍了五相永磁同步电机在Simulink环境下的PI双闭环SVPWM矢量控制建模过程及其优化方法。首先阐述了五相电机相比三相电机的优势,如更小的转矩脉动和更强的容错能力。接着探讨了复杂的Simulink模型搭建,涉及电机本体模块、坐标变换模块、SVPWM模块和PI调节器模块等多个组件。文中提供了具体的Clark变换和PI调节器的代码示例,解释了双闭环控制的工作原理,并详细描述了SVPWM与十扇区划分的具体实现方式。最后展示了模型的性能表现,包括良好的波形质量和快速的动态响应特性。 适合人群:从事电机控制领域的研究人员和技术人员,尤其是对五相永磁同步电机和Simulink建模感兴趣的读者。 使用场景及目标:适用于希望深入了解五相永磁同步电机控制原理并掌握具体实现方法的研究人员和技术人员。目标是帮助读者理解五相电机的特殊性和复杂性,掌握PI双闭环SVPWM矢量控制的建模技巧,提高电机控制系统的设计水平。 其他说明:文章不仅提供了理论知识,还包括了大量的代码片段和实践经验分享,有助于读者更好地理解和应用相关技术。
员工离职交接表-模板.doc
离职率高"冰山"下的真相?你知道多少?
内容概要:本文详细介绍了光伏系统中最大功率点跟踪(MPPT)的一种常见方法——恒定电压法,并探讨了其与PID控制相结合的应用。恒定电压法通过将光伏板的输出电压固定在一个预设值附近,以期接近最大功率点。然而,由于光照和温度的变化,单纯依靠恒定电压法难以精确跟踪最大功率点。因此,引入PID控制器进行动态调整,能够显著提高系统的响应速度和稳定性。文中提供了具体的MATLAB和Python代码示例,展示了如何构建和优化这样的控制系统。同时,还讨论了在Simulink环境中建模时需要注意的关键技术和参数选择。 适合人群:从事光伏系统设计、开发以及维护的技术人员,尤其是希望深入了解MPPT算法原理并掌握具体实现方法的专业人士。 使用场景及目标:适用于需要快速实现MPPT功能的小型光伏系统,特别是在成本受限的情况下。通过学习本文,读者可以掌握恒定电压法的基本概念,学会利用PID控制提升性能的方法,从而更好地应对实际工程项目中的挑战。 其他说明:尽管恒定电压法加上PID控制可以在一定程度上改善MPPT的效果,但它并非最优解。对于更加复杂的环境条件,仍需采用更为先进的算法如电导增量法等。此外,文中提到的一些技巧和注意事项有助于避免常见的错误,确保仿真的准确性。