`
杨帆Lalala
  • 浏览: 795 次
  • 来自: 杭州
最近访客 更多访客>>
文章分类
社区版块
存档分类
最新评论

《web应用安全 威胁与防治》 读书笔记

 
阅读更多

这本书,不仅仅是针对web开发者,同时也适用经常浏览网页的人。

和市面上大多web安全类图书一样,这本书主要用Java为web开发语言,虽没使用目前web开发最为流行的PHP(本人是PHP开发者),但编程,主要就是个思想,学得懂思想才是最重要的。

这本书关注了我们常常忽略,甚至从来没有了解过的东西。如很多人没有注意过甚至没能了解request headers。其实在读这本书之前,除使用ajx外,几乎没有关注过request headers,阅读了书中实例,也了解到很多平时没有了解到的东西,如多窗口浏览器(第10章),只有一个进程,而进程中掌握了所有的会话信息,通过一些手段,便可以使用这些会话。



 

 

书中,总是先介绍安全隐患及其原理,然后在逐步地实行解决。如书中第12章,此书作者首先减少了什么是跨站请求伪造,紧接着分析了跨站请求的手段,之后又从用户角度讲解如何避免这种欺骗。

在预览版中,主要有三章内容:第6章、扫描工具简介,第10章、失效的身份认证和会话管理,第12章、跨站请求伪造(CSRF)。

第6章 扫描工具简介

这一章节,主要介绍了三种工具的使用。第一个为WebInspect,此款工具不仅可以对网站进行扫面,而且可以对框架进行优化分析,而且可以选择与数据服务器上的已知漏洞进行分析。第一款工具为开源的w3af,功能虽稍逊色于WebInspect,但其功能同样十分强大,主要功能:支持代理、代理身份验证、网站身份验证、超时处理、伪造用户代理、新增自定义标题的请求、Cookie处理、本地缓存GET和头部、本地DNS缓存、保持和支持HTTP和HTTPS连接、使用多POS请求文件上传、支持SSL证书。对于w3af介绍的篇幅,也少于WebInspect,但了解了前文,w3af的使用也不成问题。与前两款主动监测工具不同,第三款软件为被动扫描软件Ratproxy。

第10章 失效的身份认证和会话管理

对于cookie这种对浏览器和用户都问同名的文本文件,对于攻击者,若获得了cookie信息,便可伪造cookie。章节中介绍了最常见的非直接会话攻击的原理,及防范策略。最后又介绍了几种动态的身份验证方式,几种方式更适合在线支付。



 

 

第12章 跨站请求伪造(CSRF)

章节首先介绍了常见的跨站请求伪造的手段,接着介绍了集中常用易用的检测工具,最后又介绍了csrf攻击的预防思路。

  • 大小: 99.2 KB
  • 大小: 62.9 KB
分享到:
评论

相关推荐

    《Android应用开发揭秘》读书笔记

    《Android应用开发揭秘》读书笔记不仅是一份个人学习历程的记录,更是一部深入浅出的Android开发指南。本书籍及笔记覆盖了从基础知识到高级应用的广泛内容,为初学者和有经验的开发者提供了宝贵的资源。 ### ...

    web安全学习笔记.pdf

    Web 安全学习笔记是关于网络安全的综合性学习笔记,涵盖了 Web 安全的基础知识、常见威胁、防御策略等方面的内容。下面将详细介绍该笔记中所涉及的知识点: 一、Web 安全基础 * Web 安全定义:Web 安全是指保护 ...

    移动应用UI设计模式 读书笔记

    移动应用 UI 设计, 读书笔记, 记录摘取书籍中重点信息,有助于页面设计,原型设计等

    Web安全学习笔记-Web-Sec Documentation

    Web安全学习笔记——Web-Sec Documentation是一份详细的知识库,旨在帮助读者理解并掌握Web安全相关的理论和技术。文档首先从Web技术的演化、网络攻防技术的发展以及网络安全观的演变三个方面进行阐述,让读者对Web...

    web读书笔记

    在“web读书笔记”这个压缩包中,我们可以推测它包含了关于Web开发的个人学习记录和项目代码。"自己项目代码"这一标签暗示了这些文件可能是作者在实践Web开发过程中积累的经验和成果,尤其是以“二哥java”为名的子...

    计算机技术的读书笔记10篇

    计算机技术的读书笔记10篇计算机技术的读书笔记10篇计算机技术的读书笔记10篇计算机技术的读书笔记10篇计算机技术的读书笔记10篇

    java读书笔记笔记笔记笔记笔记笔记

    【标题】"java读书笔记笔记笔记笔记笔记笔记" 暗示了这是一份关于Java编程语言的学习笔记,可能包含了作者在阅读Java相关书籍时所做的重要记录和理解。笔记通常涵盖了语言的基础概念、核心特性、类与对象、内存管理...

    Web安全测试笔记

    在本篇笔记中,我们将探讨与Web安全测试相关的多个知识点,包括但不限于常见的测试方法、工具和技术等。这些知识点旨在帮助安全测试人员更好地理解和掌握如何有效地进行Web应用的安全评估。 #### 一、Web安全测试...

    学生读书笔记共享-学生读书笔记共享系统-学生读书笔记共享系统源码-学生读书笔记共享管理系统-学生读书笔记共享管理系统java代码

    学生读书笔记共享系统源码-学生读书笔记共享管理系统-学生读书笔记共享管理系统java代码-学生读书笔记共享系统设计与实现-基于springboot的学生读书笔记共享系统-基于Web的学生读书笔记共享系统设计与实现-...

    白帽子讲Web安全 读书笔记一

    ### 白帽子讲Web安全读书笔记一:关键知识点解析 #### 第零篇 总览 - **客户端脚本安全**:这部分主要关注浏览器环境下的安全问题,包括浏览器自身的安全机制以及用户与网页交互过程中可能遇到的安全风险。 - **...

    学生读书笔记共享系统-学生读书笔记共享系统源码-基于springboot的学生读书笔记共享系统-学生读书笔记共享管理系统java

    学生读书笔记共享系统源码-学生读书笔记共享管理系统-学生读书笔记共享管理系统java代码-学生读书笔记共享系统设计与实现-基于springboot的学生读书笔记共享系统-基于Web的学生读书笔记共享系统设计与实现-...

    《计算机应用基础》读书笔记.doc

    读书笔记 类型: 课程学习 名称: 计算机应用基础 时间:2006.7.7 体裁:说明文 " 知识内容与结构 "备 注 " "一.知识整体结构层次1说明: " " "计算机基础知识 " " "计算机软件 (系统软件——操作系统) " " ...

    统计学与R读书笔记(第六版)

    1. 书籍介绍:《统计学与R读书笔记(第六版)》是一本结合统计学与R语言的图书,适合于有统计学或R语言学习需求的人群。这本书可能涉及了R的基础操作、统计方法应用以及R语言的高级特性。 2. R语言基础:文档中提到了...

    读书笔记 3000字数以上

    从给定的文件信息来看,虽然标题和描述指向了“读书笔记”,但内容部分似乎包含了一些乱码,无法直接解析出具体的知识点。不过,基于标题和描述的提示,我们可以探讨一下如何撰写高质量的读书笔记,以及在IT行业背景...

    web安全复习笔记.pdf

    根据提供的文件信息,可以提炼出以下web安全相关的知识点: 1. 同源策略:是一种安全机制,用于限制网页上的脚本如何与...通过这份复习笔记,可以了解到web安全中的各种概念和机制,对于理解和防范Web攻击至关重要。

Global site tag (gtag.js) - Google Analytics