`
superhj1987
  • 浏览: 205484 次
  • 性别: Icon_minigender_1
  • 来自: 杭州
社区版块
存档分类
最新评论

《白帽子讲Web安全》读书笔记

 
阅读更多

最近一直在忙着易信公众平台的开发工作,一直没能抽出空来总结一下。周末终于有了一些空闲,就把这本书的笔记写了一下。

整本书四篇十八章,包括世界观安全、客户端脚本安全、服务端应用安全以及互联网公司安全运营四大部分。


一、世界观安全
1、黑帽子和白帽子这两个概念,前者指的是利用安全技术进行破坏的哪一类黑客,后者则指的是工作在反黑客领域的安全技术专家。
2、安全问题的本质是信任的问题。并且安全是一个持续的过程,并不存在所谓的银弹。
3、安全三要素:机密性、完整性、可用性
4、一个安全评估的过程可以分为4个阶段:资产等级划分、威胁分析、风险分析、确认解决方案。其中威胁分析的一种建模方法是微软提出的STRIDE模型;风险分析则是DREAD模型,Risk = Probability * Damage Potenial。
5、白帽子并发有以下几个原则:Secure By Default原则;纵深防御原则(Defense in Depth);数据与代码分离原则;不可预测性原则。


二、客户端脚本安全
1、浏览器安全
同源策略(Same Origin Policy)防止了跨域读写某些资源。
浏览器提供了浏览器沙箱,使进程在一个相对独立的空间运行,能在一定程度上保护浏览器安全。
2、跨站脚本攻击
跨站脚本攻击主要是注入到网站内容中,授权用户访问内容时执行一段恶意代码,从而获取用户的私密信息或者进行破坏。通常叫做XSS攻击,是针对动态网站的攻击。
3、跨站点请求伪造
CSRF,指的是伪造出一个请求,诱使授权用户访问,以授权用户的身份去执行请求,从而达到对授权用户信息的读取、攻击等。
4、点击劫持
Click jacking,是指将恶意代码隐藏在看似无害的内容后者按钮之下,诱导用户访问的一种手段。
5、Html5安全

1)HTML引入了很多新的标签,一些XSS Filter可能并没有覆盖这些新增的标签和功能。比如video、audio、iframe的sandbox。此外使用canvas可以在浏览器环境中实现对验证码的在线破解,大大降低了攻击的门槛。

2)跨域请求的Orgin Header和Access-Control-Allow-Origin的设置。postMessage的引入,使XSS PayLoad变得更加的灵活。


三、服务端安全
1、注入攻击
注入攻击是一种普遍的利用数据库SQL语句进行攻击的方式。使用用户提交的数据拼接数据库操作字符串,如果这些字符串中包含一些特殊字符就有可能查询到数据库关键信息。
2、文件上传漏洞
通常的一个问题就是对上传文件的格式控制不严格,并且文件存放的路径可以通过Web路径直接进行访问;另一种方式,就是文件路径是通过表单的方式提交的,可以使用一个特殊字符“\0”截断文件路径,从而实现对脚本文件的上传。
3、认证与会话管理
用户的登录状态一般是进过认证之后保存在服务端的,与服务器端的一系列交互即会话。一般对会话的管理。。。
4、访问控制
对于系统中不同的用户具有不同的权限,对这些权限进行控制即访问控制。如果访问控制不严就容易形成漏洞被利用。
5、加密算法与随机数
系统中对数据进行加密使用的加密算法和随机数生成算法的安全性和健壮性都直接关系到整个系统的安全性。对称加密、非对称加密的密钥的安全性,随机数算法的随机性都是要考虑的问题。
6、Web框架安全
一些经典的使用率较高的Web框架如:Spring、Struts、Hibernate本身会在整个执行体系中有一些安全漏洞。比如前一阵的Struts2的命令执行漏洞,就是因为在OGNL中可以执行JAVA静态方法造成的。
7、应用层拒绝服务攻击
DOS,这种攻击是以耗尽服务器资源为目的攻击。DDOS分布式 拒绝服务攻击,是DOS的加强版。防范拒绝服务攻击要从访问入口处进行,限制来自统一IP的访问频率或者就是最大化提升系统的负载能力。
8、PHP安全和Web服务器配置安全
针对与PHP本身的一些API的特点,可以在代码层面进行安全控制。比如,对数据库SQL相关的操作,要对用户输入的参数进行mysql_real_esape等。此外,对于Web Server如Apache http server,对其magic_quote,GLOBAL等配置要权衡关闭和开启是否会对系统的安全造成威胁。


四、互联网公司安全运营
除了在技术层面对安全进行保证外,还可以在业务层面对安全进行最大化的保障。此外,微软提出的 SDL安全开发流程,运用在项目开发过程中能够很好地保障系统的安全。而运营方面的安全保障则能够进一步保证整个系统的安全性。

 

分享到:
评论

相关推荐

    白帽子讲Web安全 读书笔记一

    ### 白帽子讲Web安全读书笔记一:关键知识点解析 #### 第零篇 总览 - **客户端脚本安全**:这部分主要关注浏览器环境下的安全问题,包括浏览器自身的安全机制以及用户与网页交互过程中可能遇到的安全风险。 - **...

    白帽子讲Web安全

    《白帽子讲Web安全》内容简介:在互联网时代,数据安全与个人隐私受到了前所未有的挑战,各种新奇的攻击技术层出不穷。如何才能更好地保护我们的数据?《白帽子讲Web安全》将带你走进Web安全的世界,让你了解Web安全...

    白帽子讲Web安全高清完整PDF版

    《白帽子讲Web安全》内容简介:在互联网时代,数据安全与个人隐私受到了前所未有的挑战,各种新奇的攻击技术层出不穷。如何才能更好地保护我们的数据?《白帽子讲Web安全》将带你走进Web安全的世界,让你了解Web安全...

    白帽子讲web安全 azw3

    《白帽子讲Web安全》内容简介:在互联网时代,数据安全与个人隐私受到了前所未有的挑战,各种新奇的攻击技术层出不穷。如何才能更好地保护我们的数据?《白帽子讲Web安全》将带你走进Web安全的世界,让你了解Web安全...

    白帽子讲Web安全 pdf

    《白帽子讲Web安全》内容简介:在互联网时代,数据安全与个人隐私受到了前所未有的挑战,各种新奇的攻击技术层出不穷。如何才能更好地保护我们的数据?《白帽子讲Web安全》将带你走进Web安全的世界,让你了解Web安全...

    白帽子讲web安全 完整版

    《白帽子讲Web安全》是一本深入探讨网络安全领域中Web应用安全的专业书籍,全面覆盖了Web安全的基础理论、常见威胁及防御策略。随着互联网技术的不断发展,Web应用已经成为日常生活和工作中不可或缺的一部分,...

    白帽子讲web安全

    通过阅读《白帽子讲Web安全》,无论是初入行业的新人还是有经验的安全专家,都能从中受益,提升对Web安全的理解,学习到有效的防御策略,从而更好地保护网络环境。无论你是开发者、安全管理员还是对网络安全感兴趣的...

    白帽子讲Web安全.pdf百度云分享+Web前端黑客技术揭秘.pdf

    《白帽子讲Web安全》与《Web前端黑客技术揭秘》这两本书是IT行业中关于网络安全,特别是Web安全领域的经典著作。它们深入浅出地探讨了Web安全的重要性和实践方法,为读者提供了丰富的知识。 《白帽子讲Web安全》一...

    白帽子讲WEB安全--吴翰清.pdf

    阿里巴巴知名安全大牛吴翰清所著书籍--《白帽子讲web安全》

    白帽子讲Web安全【高清】.pdf

    根据给出的文件信息,本文件为《白帽子讲Web安全【高清】.pdf》,内容围绕Web安全、白帽子以及安全入门等知识点展开。该书由道哥原作,旨在帮助读者了解和入门Web安全领域。 知识点一:Web安全的重要性 Web安全是...

    白帽子讲Web安全完整版

    《白帽子讲Web安全》的清晰pdf版本为学习提供了便利,可以随时随地进行阅读和查阅。对于希望提升Web安全知识的IT从业者、学生或者对此感兴趣的人来说,这本书无疑是一份宝贵的资源。通过深入学习并实践其中的知识,...

    《白帽子讲Web安全》.pdf

    《白帽子讲Web安全》.pdf 作者:吴翰清 电子工业出版社

    白帽子讲Web安全(pdf版)

    (没有源码啊,不知道怎么删不掉标题上的这些)《白帽子讲Web安全》是2012年电子工业出版社出版的图书,作者是吴翰清。本书是根据作者若干年实际工作中积累下来的丰富经验而写成的,在解决方案上具有极强的可操作性...

    白帽子讲web安全.pdf.rm2

    白帽子讲web安全.pdf(Part 2),因上传大小限制,故将文件分割成4个部分。4个部分和1个合并文件都下载后放在同一目录下,运行合并文件(.bat)即可将4个部分合并。PS:只有第一个部分需要一个下载积分。

    白帽子讲Web安全(纪念版 (带书签高清文字版)

    白帽子讲Web安全(纪念版 (带书签高清文字版)

    白帽子讲web安全超高清

    《白帽子讲Web安全》内容简介:在互联网时代,数据安全与个人隐私受到了前所未有的挑战,各种新奇的攻击技术层出不穷。如何才能更好地保护我们的数据?《白帽子讲Web安全》将带你走进Web安全的世界,让你了解Web安全...

    白帽子讲Web安全 完整版 高清PDF 分卷2

    这个是完整高清版 PDF文件220M ...《白帽子讲web安全》是根据作者若干年实际工作中积累下来的丰富经验而写成的,在解决方案上具有极强的可操作性,深入分析了各种错误的解决方案与误区,对安全工作者有很好的参考价值。

Global site tag (gtag.js) - Google Analytics