《白帽子讲WEB安全》————读书笔记

原创

include12138 2021-06-29 14:11:22 ©著作权

文章标签 经验分享 文章分类 代码人生

©著作权归作者所有：来自51CTO博客作者include12138的原创作品，请联系作者获取转载授权，否则将追究法律责任

浏览器安全

同源策略

同源，顾名思义就是来自同一个地方的js脚本，影响“源”的因素有三个：端口、主机（子域名）、协议
之所以会有同源策略，是因为如果允许网站加载来自其他网站的脚本，则有可能会泄露本网站的敏感信息

上一篇：HDU 4146 Filp Game

下一篇：js学习笔记

提问和评论都可以，用心的回复会被更多人看到评论

发布评论

相关文章

《数据资产管理核心技术与应用》读书笔记-第三章：数据血缘

《数据资产管理核心技术与应用》是清华大学出版社出版的一本图书，作者为张永清等著，全书共分10章，第1章主要让读者认识数据资产，了解数据资产相关的基础概念，以及数据资产的发展情况。第2～8章主要介绍大数据时代数据资产管理所涉及的核心技术，内容包括元数据的采集与存储、数据血缘、数据质量、数据监控与告警、数据服务、数据权限与安全、数据资产管理架构等。第9～10章主要从实战的角度介绍数据资产管理技术的应用实践，包括如何对元数据进行管理以发挥出数据资产的更大潜力，以及如何对数据进行建模以挖掘出数据中更大的价值。今天主要是给大家分享一下第三章的内容：第三章的标题为数据血缘内容思维导图如下：

数据资产管理数据血缘元数据 SparkSQL SQL
Oracle11g数据库恢复技术_读书笔记_第2章控制文件(Control File)

第2章控制文件(Control File)控制文件在数据库mount时加载，记录了数据文件、日志文件、RMAN、SCN等信息，其作用是在数据库打开时与其他文件头部交叉校验以确保数据库物理结构的一致性。如果控制文件是旧的，那么无论数据文件是否损坏，都必须经由介质恢复的流程才能打开数据库。控制文件可以配置多个做镜像，但其中任意一个损坏时无法启动数据库，数据库正常运行时损坏其中一个一般不影响，但如果要

控制文件检查点数据库
Oracle11g数据库恢复技术_读书笔记_第5章恢复编录(Recovery Catalog)

第5章恢复编录(Recovery Catalog)使用恢复编录的优点：持久性能够保存比控制文件更多的备份信息，使RMAN资料库不受control_file_record_keep_time参数的限制。安全性当控制文件全部损坏后，也不影响使用RMAN进行恢复。简化丢失控制文件情况下的还原恢复操作便捷性可列出任意时间点上的表空间和数据库文件结构。创建Catalog数据库强烈建议单独准备一台数据库服务

数据库控制文件 oracle
《白帽子讲Web安全》读书笔记

我所渴求的，無非是將心中脫穎語出的本性付諸生

Web 同源策略 xml
白帽子讲web扫描读书笔记

白帽子讲web扫描读书笔记漏洞感知漏洞分析漏洞响应漏洞沉淀纵深防御建立企业专属有效的扫描体系第一章扫描器基础每个web漏洞都有自己的常见签名特征，可以通过对web应用发起http(s)请求的方式，通过其响应结果进行判断。线上监控：对于已有漏洞的反复监控线上预警：对于0Day漏洞的快速检测检测一个web漏洞主要思考两部分，即http(s)的请求，和对其响应结果的识别pyQt QtWebket

网络安全事件触发 html
[读书笔记]白帽子讲WEB安全-第二章

声明：读书笔记是我在阅读过程中做的一些笔记，并在其中添加自己的思考。文章中会涉及到部分书籍原文内容，如有侵权，请联系告知并删除。原文一切版权归本书作者所有，其他思考痕迹保留所有权。========================================第2章浏览器安全2.1 同源策略 &

浏览器 javascript 读书笔记 document 用户登录
[读书笔记]白帽子讲WEB安全-第一章

声明：读书笔记是我在阅读过程中做的一些笔记，并在其中添加自己的思考。文章中会涉及到部分书籍原文内容，如有侵权，请联系告知并删除。原文一切版权归本书作者所有，其他思考痕迹保留所有权。========================================第一章我的安全世界观 1

入侵系统读书笔记工作环境世界观
白帽子讲web安全笔记

一、Secure By Default原则1、黑名单和白名单比如，在制定防火私自改变

web安全 ssh 安全数据拖拽
看白帽子讲web安全-服务器端应用安全读书笔记

攻击如果说“hello world” 是程序员的初体验，那注入攻击可能就是破坏者的发出的第一招，探探虚实。注入攻击的本质就是将用户的输入当作代码执行，最为常见的就是“SQL注入”；使用预编译的SQL语句可以很好的防范，SQL语句的语义不会发生改变。在SQL语句中，变量用？表示，攻击者无法改变SQL的结构。在下面的例子中，即使攻击者插入类似于tom' or '1'='1的字符串，也只会将此字

java
白帽子讲Web安全

白帽子讲Web安全

白帽子讲Web安全
《白帽子讲web安全》第七章注入攻击读书笔记（二）

7.3 正确的防御sql注入只对用户的输入做escape是不够的，黑客的注入攻击总能找到绕过黑名单过滤的方法。7.3.1 使用预编译语句防御sql注入的最佳方式，就是使用预编译语句，绑定变量。各种不同的语言中，用法各异：Java EE, use PreparedStatement().NET, use SqlCommand() or OleDbCommand()PHP, use bindParam

安全技术
《白帽子讲web安全》第三章XSS读书笔记（一）

3.1 xss简介cross site script 本来缩写是css，为了跟网站开发中的css区分，安全领域称为xss。xss的产生原因是直接把用户的输入，输出到页面上，黑客可以输入脚本语句进行攻击。xss的分类：反射性xss，需要诱使用户点击恶意链接才能攻击成功；存储型xss，也叫持久型xss，黑客输入的数据可以存储在服务器上；DOM based xss，实际上是一种反射性xss，通过修改页面

白帽子讲web安全笔记 xss
《白帽子讲web安全》第七章注入攻击读书笔记（一）

7.1 sql注入sql注入98年第一次出现在《phrack》54期上。注入攻击有两个关键条件，第一是用户能够控制输入，第二是原本程序要执行的代码拼接了用户输入的数据。如果网站开启了错误回显，将为攻击者提供极大的便利。7.1.1 盲注“盲注”是在服务器没有错误回显时完成的攻击。最常见的盲注方法是构造简单的条件语句，根据返回页面是否发生变化，来判断sql语句是否得到执行。例如对比“id＝2”、“id

白帽子 web安全读书笔记
白帽子讲Web安全札记

注入攻击的本质，是把用户输入的数据当代码执行。这里有两个关键条件，第一个是用

数据库数据文件上传
白帽子讲Web安全阅读感受---01

前言：这本书我目前看了，百分之三十左右。这百分之三十的里面，让我印象最为深刻的是 “网络本来是安全的，因为有了研究网络的人所以不安全。” 到目前为止还有一个观点：所有的安全...

1
《白帽子讲WEB安全》学习笔记之第12章 WEB框架安全

第12章 WEB框架安全12.1 MVC框架安全在Spring框架中可以使用spring security来增加系统的安全性。12.2 模板引擎与XSS防御 12.3 WEB框架与CSRF防御在MVC中防御CSRF：q 在Session中绑定token。如果不能保存到数据库中的Session，则使用Cookie.q 在form表单中自动填写token字段q&nbs

安全白帽子
《白帽子讲WEB安全》学习笔记之第14章 php安全

略

安全白帽子
《白帽子讲WEB安全》学习笔记之第18章安全运营

第18章安全运营18.1 把安全运营起来战略：q 寻找漏洞并修补--漏洞修补q 防御快速响应--安全监控q 规范开发流程--入侵检测18.2 漏洞修补流程流程：q 建立类似Bug Tracker的漏洞跟踪机制，并为漏洞的紧急程序选择优先级q 建立漏洞分析机制，并与程序员一起制定修补方案，同时review补丁的代码实现q 对曾

安全白帽子
CSRF防御方案:---基于《白帽子讲Web安全》

CSRF防御方案:（1）在Session中绑定token。如果不能保存到服务器端Session中，则可以替代为保存到Cookie里。（2）在form表单中自动填入token字段，比如 <input type=hidden name="anti_csrf_token" value="$token" />。（3）在Ajax请求中自动添加token，这可能需要已有的Ajax封装实

服务器 Cookie 流行白名单安全相关
《白帽子讲WEB安全》学习笔记之第15章 web server配置安全

第15章 web server配置安全15.1 apache安全在linux部署安装web Server时候一定主要要使用“最小权限原则”。尽量不要使用root部署。15.2 nginx安全Nginx 安全配置指南技术手册 PDF 下载免费下载地址在http://linux.linuxidc.com/用户名与密码都是www.linuxidc.com具体下载目录在 /pub/服务器相关教程/Ngin

安全白帽子
sql server 数据库字段加密解密

--//列加密 --创建一个新的数据库并创建CustomerInfo表 CREATE DATABASE CustomerData; Go USE CustomerData; GO CREATE TABLE CustomerData.dbo.CustomerInfo (CustID INT PRIMARY KEY, CustName VARCHAR(30) NOT NULL,

数据库 sqlserver Powered by 金山文档 Server SQL
Java中的对象和实例有何区别

1.java的反射机制每个java程序执行前都必须经过编译、加载、连接和初始化这几个阶段，后三个阶段加载：查找并加载类的二进制数据连接：a.验证：确保被加载类的正确性 b.准备：为类的静态变量分配内存，并将其初始化为默认值 c.解析：把类

Java中的对象和实例有何区别初始化加载静态变量
android13 内置应用并设置为launcher

这篇文章主要内容来自于之前我讲的一个PPT文档，现在将其整理如下。欢迎指正。以下的内容都是来自于我自身的经验，欢迎大家多提自己的建议。 1、一些概念模式的定义：每个模式都描述了一个在我们的环境中不断出现的问题，然后描述了该问题的解决方案的核心。通过这种方式，你可以无数次地使用那些已有的解决方案，无需在重复相同的工作。什么是设计模式？设计模式是在某种特别的情况下，针对某种问题的某种典型、

android 程序开发框架设计数据
java重载可以改变返回值类型吗

函数的重载函数：为了提高代码的复用性，可以将其定义成一个单独的功能，该功能的体现就是java中的函数。函数就是体现之一。java中的函数的定义格式：修饰符返回值类型函数名(参数类型形式参数1，参数类型形式参数1，…){ 执行语句； return 返回值； }当函数没有具体的返回值时，返回的返回值类型用void关键字表示。如果函数的返回值类型是void时，return语句可以省

java重载可以改变返回值类型吗值类型乘法表 99乘法表
java增强型for循环里数值相加

一增强for循环　　增强for循环是JDK1.5以后出来的一个高级for循环，专门用来遍历数组和集合的。它的内部原理其实是个Iterator迭代器，所以在遍历的过程中，不能对集合中的元素进行增删操作。格式： for(元素的数据类型变量 : Collection集合or数组){ }　　它用于遍历Collection和数组。通常只进行遍历元素，不要在遍历的过

java增强型for循环里数值相加泛型 System 数据类型

官方博客	全部文章	热门标签	班级博客
了解我们	网站地图	意见反馈

鸿蒙开发者社区	51CTO学堂
51CTO	软考资讯