Web安全越来越成为互联网时代的一个重要因素,很不容易的,终于看到了一本web安全方面的新书。最近一年来,我本人也一直在研究web安全的相关内容,也有了一定的了解和认识。相关的书读了不少,包括黑客攻防类的,0day安全类的,再看此书的试读章节,难免会与其他书做个比较。本书相对于其他同类型书来说,最大的特点就是作者喜欢用实例说话,在讲解每个关键点的时候都会举出恰到好处的例子来帮助我们理解,这方面在第十章和第十二章最为明显,更加有利于大家的学习。
接下来我就结合我自身的知识将试读章节中的内容总结概括下:
首先,书的副标题告诉我们本书的web安全是基于OWASP Top10的安全威胁。很多朋友都不太知道owasp top10的威胁都包含什么。我先在这里做个简单介绍:
Owasp全称是Open Web Application Security Project,即开放式Web应用程序安全项目。它是一个非盈利组织,主要提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。具体关于这个组织的一些信息请各位移步baidu。我这里主要介绍下top10;
所谓的top10是指The top 10 most critical web application security risks(Web应用的十大关键风险),目前的十大安全隐患包括:
注入
跨站脚本(XSS)
错误的认证和会话管理
不正确的直接对象引用
伪造跨站请求(CSRF)
安全性误配置
限制远程访问失败
未验证的重定向和传递
不安全的加密存储
不足的传输层保护
所以,最近两到三年,基于上述10个安全隐患的web攻击是最多且不断进化的,作为一个web开发者,或是测试人员、安全工作者、项目经理都需要将安全重视起来。
接下来我将试读章节的内容做个简单的总结。
第六章为我们介绍的是三个安全扫描工具:WebInspect、w3af和Ratproxy。目前比较流行的安全扫描工具还有一个与WebInspect齐名的AppScan,除此之外还有一个轻量级开源的Paros,上面的工具各有所长,概括来说HP的Webinspect和IBM的AppScan是基于企业级web应用,做出最详尽的安全测试审计报告,相对适合安全工作者使用参考;w3af和paros同样作为自动安全扫描工具则相对较轻量级,更便于使用和与项目集成,相对是更加适合于开发人员使用;Ratproxy的最大特点是被动扫描,即你在测试功能同时完成扫描,所以更加适用于测试人员。当然,上述工具对于大家来说更多了解就更好了。同样,不可避免的,所有的工具都存在错报和漏报的问题,这时候需要我们运用自己的安全知识来“火眼金睛”的辨识漏洞的真实性。
第十章主要介绍的是失效的身份认证和会话管理。从10年开始,会话令牌作为互联网一个重要的因素就被不断的攻击。章节中为我们介绍了攻击的方法和防治的措施,已经非常详尽,有兴趣的朋友可以阅读参考。对于我而言,我最本章最感兴趣的是双因子认证。
双因子认证是基于HMAC-based One-time Password Algorithm,也就是HMAC一次性密码算法的安全认证服务。
因为secret key 的QR Code 只会发在各个用户的手机上,并且每个用户都知晓自己的密码,从而实现了双因子认证。这样,即使别人知道了你的密码,但他不会有你的手机,无法登录;即使别人不小心拾到了你的手机,但是他不知道你的密码,也无法登录。这就是双因子验证的强大功能。目前双因子验证虽然安全,但却并不十分便捷,所以在大多数网站中没有使用其作为登录模式,但是现在的支付接口却很多运用了此项技术,相信我这么一说,大家就可以想象到了。
第十二章为我们介绍的是CSRF,跨站请求伪造。听起来很像XSS,但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。
CSRF的常见特性:
l 依靠用户标识危害网站
l 利用网站对用户标识的信任
l 欺骗用户的浏览器发送HTTP请求给目标站点
介绍就到这里,具体的原理和测试方法、防范方法都在章节中结合例子和工具有更细致的讲解,我就不在这里赘述了,总体来说,CSRF虽然攻击较少,但防范难度更大,网站中的任何图片、链接都有可能带你走向万丈深渊,所以也是所有it安全工作者需要防范的一个环节。
介绍了这么多,这貌似是我写的较长的一篇读书笔记了,主要也是对安全方面有一定的了解,所以洋洋洒洒写了如此多的内容。互联网需要一个安全的环境,而安全的环境需要每个it工作者为之努力奋斗,所以,让我们努力,别让谁动了我们的web安全!
相关推荐
压缩包中的文件名“Web应用安全威胁与防治——基于OWASP_Top_10与ESAPI_试读样章.pdf”揭示了这份资料可能来源于一本书的一部分,书中可能会详细探讨Web应用面临的十大安全威胁(OWASP Top 10),这是由OWASP(开放...
pimpinella_3cd_01_0716
FIB English learning
X86-jq安装包
AB PLC例程代码项目案例 【备注】 1、该资源内项目代码都经过测试运行成功,功能ok的情况下才上传的,请放心下载使用!有问题请及时沟通交流。 2、适用人群:计算机相关专业(如计科、信息安全、数据科学与大数据技术、人工智能、通信、物联网、自动化、电子信息等)在校学生、专业老师或者企业员工下载使用。 3、用途:项目具有较高的学习借鉴价值,不仅适用于小白学习入门进阶。也可作为毕设项目、课程设计、大作业、初期项目立项演示等。 4、如果基础还行,或热爱钻研,亦可在此项目代码基础上进行修改添加,实现其他不同功能。 欢迎下载!欢迎交流学习!不清楚的可以私信问我!
大圣挪车小程序1.3.5 前端
Manus.im 产品及开发团队研究报告.pdf
AB PLC例程代码项目案例 【备注】 1、该资源内项目代码都经过测试运行成功,功能ok的情况下才上传的,请放心下载使用!有问题请及时沟通交流。 2、适用人群:计算机相关专业(如计科、信息安全、数据科学与大数据技术、人工智能、通信、物联网、自动化、电子信息等)在校学生、专业老师或者企业员工下载使用。 3、用途:项目具有较高的学习借鉴价值,不仅适用于小白学习入门进阶。也可作为毕设项目、课程设计、大作业、初期项目立项演示等。 4、如果基础还行,或热爱钻研,亦可在此项目代码基础上进行修改添加,实现其他不同功能。 欢迎下载!欢迎交流学习!不清楚的可以私信问我!
sun_3ck_01a_0918
下载 1. 单击“立即下载”,以下载该文件。 2. 出现“文件下载”窗口后,单击“保存”,以将文件保存到硬盘。 安装 1. 浏览至文件下载目标位置并双击新下载的文件。 2. 仔细阅读对话窗口中显示的发布信息。 3. 下载并安装对话窗口中标识的任何必备项,然后再继续。 4. 单击“Install”(安装)按钮。 5. 按照其余提示执行更新。 安装 1. 将解压的文件复制到可访问Windows的介质。 2. 将系统重新引导至Windows操作系统。 3. 打开“服务器管理器”->“设备管理器”->“存储控制器”,然后单击“PERC控制器”。 5. 单击“更新驱动程序软件”,并按照提示更新驱动程序。 4. 重新引导系统以使更改生效。
支持所有操作系统一键安装。
matlab程序代码项目案例 【备注】 1、该资源内项目代码都经过测试运行成功,功能ok的情况下才上传的,请放心下载使用!有问题请及时沟通交流。 2、适用人群:计算机相关专业(如计科、信息安全、数据科学与大数据技术、人工智能、通信、物联网、自动化、电子信息等)在校学生、专业老师或者企业员工下载使用。 3、用途:项目具有较高的学习借鉴价值,不仅适用于小白学习入门进阶。也可作为毕设项目、课程设计、大作业、初期项目立项演示等。 4、如果基础还行,或热爱钻研,亦可在此项目代码基础上进行修改添加,实现其他不同功能。 欢迎下载!欢迎交流学习!不清楚的可以私信问我!
AB PLC例程代码项目案例 【备注】 1、该资源内项目代码都经过测试运行成功,功能ok的情况下才上传的,请放心下载使用!有问题请及时沟通交流。 2、适用人群:计算机相关专业(如计科、信息安全、数据科学与大数据技术、人工智能、通信、物联网、自动化、电子信息等)在校学生、专业老师或者企业员工下载使用。 3、用途:项目具有较高的学习借鉴价值,不仅适用于小白学习入门进阶。也可作为毕设项目、课程设计、大作业、初期项目立项演示等。 4、如果基础还行,或热爱钻研,亦可在此项目代码基础上进行修改添加,实现其他不同功能。 欢迎下载!欢迎交流学习!不清楚的可以私信问我!
swanson_01_1106
AB PLC例程代码项目案例 【备注】 1、该资源内项目代码都经过测试运行成功,功能ok的情况下才上传的,请放心下载使用!有问题请及时沟通交流。 2、适用人群:计算机相关专业(如计科、信息安全、数据科学与大数据技术、人工智能、通信、物联网、自动化、电子信息等)在校学生、专业老师或者企业员工下载使用。 3、用途:项目具有较高的学习借鉴价值,不仅适用于小白学习入门进阶。也可作为毕设项目、课程设计、大作业、初期项目立项演示等。 4、如果基础还行,或热爱钻研,亦可在此项目代码基础上进行修改添加,实现其他不同功能。 欢迎下载!欢迎交流学习!不清楚的可以私信问我!
AB PLC例程代码项目案例 【备注】 1、该资源内项目代码都经过测试运行成功,功能ok的情况下才上传的,请放心下载使用!有问题请及时沟通交流。 2、适用人群:计算机相关专业(如计科、信息安全、数据科学与大数据技术、人工智能、通信、物联网、自动化、电子信息等)在校学生、专业老师或者企业员工下载使用。 3、用途:项目具有较高的学习借鉴价值,不仅适用于小白学习入门进阶。也可作为毕设项目、课程设计、大作业、初期项目立项演示等。 4、如果基础还行,或热爱钻研,亦可在此项目代码基础上进行修改添加,实现其他不同功能。 欢迎下载!欢迎交流学习!不清楚的可以私信问我!
sun_3ck_01_0919
各城市方言距离数据-中山大学岭南学院产业与区域经济研究中心 方言距离是指两种或多种方言之间的相似程度或差异程度。参考中山大学岭南学院产业与区域经济研究中心的刘毓芸等(2015)文献。他们基于方言树图,并参考《汉语方言大词典》和《中国语言地图集》对方言的划分,将汉语方言从宽泛到具体分为以下几个层级:汉语→方言大区→方言区→方言片。为了量化县与县之间的方言差异,他们采用了一种赋值方法: 若它们分属不同方言大区,则距离为3。: 若两个县同属一个方言片,则它们之间的方言距离为0; 若两个县属于同一方言区但不同方言片,则距离为1; 若它们属于同一方言大区但不同方言区,则距离为2; 方言距离是一个反映方言之间相似程度或差异程度的重要指标,它在语音识别、方言研究等领域具有广泛的应用价值。 参考文献:[1]刘毓芸, 徐现祥, 肖泽凯. 2015. 劳动力跨方言流动的倒U型模式[J]. 经济研究, 50(10): 134-146+162. 指标 语系、语族、方言大区、方言区/语支、方言片/语种、Supergroup、Dialect、group、Sub-dialect、groupPref_1、Pref_2、DiaDist、PrefCode_1、PrefCode_2等等。
基于PCA算法的人脸识别MATLAB源码
AB PLC例程代码项目案例 【备注】 1、该资源内项目代码都经过测试运行成功,功能ok的情况下才上传的,请放心下载使用!有问题请及时沟通交流。 2、适用人群:计算机相关专业(如计科、信息安全、数据科学与大数据技术、人工智能、通信、物联网、自动化、电子信息等)在校学生、专业老师或者企业员工下载使用。 3、用途:项目具有较高的学习借鉴价值,不仅适用于小白学习入门进阶。也可作为毕设项目、课程设计、大作业、初期项目立项演示等。 4、如果基础还行,或热爱钻研,亦可在此项目代码基础上进行修改添加,实现其他不同功能。 欢迎下载!欢迎交流学习!不清楚的可以私信问我!