白帽子讲Web安全
吴翰清著
ISBN 978-7-121-16072-1
2012年3月出版
定价:69.00元
16开
448页
宣传语:安全是互联网公司的生命,也是每一位网民的最基本需求。一位天天听到炮声的白帽子和你分享如何呵护生命,满足最基本需求。这是一本能闻到硝烟味道的书
内 容 简 介
在互联网时代,数据安全与个人隐私受到了前所未有的挑战,各种新奇
原创
2012-04-09 17:03:13
1543阅读
一、Secure By Default原则1、黑名单和白名单比如,在制定防火私自改变
原创
2022-10-18 16:40:33
183阅读
注入攻击的本质,是把用户输入的数据当代码执行。 这里有两个关键条件,第一个是用
原创
2022-10-09 09:16:36
35阅读
前言:这本书我目前看了,百分之三十左右。这百分之三十的里面,让我印象最为深刻的是 “网络本来是安全的,因为有了研究网络的人所以不安全。” 到目前为止还有一个观点:所有的安全...
原创
2023-05-12 11:03:16
74阅读
浏览器安全同源策略同源,顾名思义就是来自同一个地方的js脚本,影响“源”的因素有三个:端口、主机(子域名)、协议 之所以会有同源策略,是因为如果允许网站加载来自其他网站的脚本,则有可能会泄露本网站的敏感信息 ...
原创
2021-06-29 14:11:22
171阅读
CSRF防御方案:(1)在Session中绑定token。如果不能保存到服务器端Session中,则可以替代为保存到Cookie里。(2)在form表单中自动填入token字段,比如 <input type=hidden name="anti_csrf_token" value="$token" />。(3)在Ajax请求中自动添加token,这可能需要已有的Ajax封装实
转载
精选
2014-03-22 22:26:16
900阅读
本周的技术读物是《白帽子讲web安全》。 这本书让我认识了吴翰清,一个年轻的技术大牛。安全宝的负责人之一。关于安全方面是个小白的我,觉得攻击防御真的很神奇,希望多少了解一些,于是选择了这本红皮书。 好了,转入正题。今天看了第一部分--世界安全观。是大概念上讲解安全的意识,还算比较简单。总结一下: 1.安全问题的本质是信任的问题。一切安全设计的方案的基础建立在信
原创
2013-09-02 17:14:19
1084阅读
第12章 WEB框架安全12.1 MVC框架安全在Spring框架中可以使用spring security来增加系统的安全性。12.2 模板引擎与XSS防御 12.3 WEB框架与CSRF防御在MVC中防御CSRF:q 在Session中绑定token。如果不能保存到数据库中的Session,则使用Cookie.q 在form表单中自动填写token字段q&nbs
原创
2016-10-08 21:47:13
1579阅读
白帽子讲web扫描 读书笔记漏洞感知漏洞分析漏洞响应漏洞沉淀纵深防御建立企业专属有效的扫描体系第一章 扫描器基础每个web漏洞都有自己的常见签名特征,可以通过对web应用发起http(s)请求的方式,通过其响应 结果进行判断。线上监控:对于已有漏洞的反复监控 线上预警:对于0Day漏洞的快速检测检测一个web漏洞主要思考两部分,即http(s)的请求,和对其响应结果的识别pyQt QtWebket
原创
2022-11-03 10:25:17
71阅读
第18章 安全运营18.1 把安全运营起来战略:q 寻找漏洞并修补--漏洞修补q 防御快速响应--安全监控q 规范开发流程--入侵检测18.2 漏洞修补流程流程:q 建立类似Bug Tracker的漏洞跟踪机制,并为漏洞的紧急程序选择优先级q 建立漏洞分析机制,并与程序员一起制定修补方案,同时review补丁的代码实现q 对曾
原创
2016-10-08 21:54:25
1472阅读
第15章 web server配置安全15.1 apache安全在linux部署安装web Server时候一定主要要使用“最小权限原则”。尽量不要使用root部署。15.2 nginx安全Nginx 安全配置指南技术手册 PDF 下载免费下载地址在http://linux.linuxidc.com/用户名与密码都是www.linuxidc.com具体下载目录在 /pub/服务器相关教程/Ngin
原创
2016-10-08 21:52:02
1168阅读
白帽子修炼第一步(理论篇)-①蠕虫特洛伊木马(Trojan Horse)被控端TCP 反向连接webshell 后门脚本 获取网站 最高权限 EXP:全称 ' E
原创
2022-04-15 10:59:16
237阅读
声明: 读书笔记是我在阅读过程中做的一些笔记,并在其中添加自己的思考。文章中会涉及到部分书籍原文内容,如有侵权,请联系告知并删除。 原文一切版权归本书作者所有,其他思考痕迹保留所有权。========================================第2章 浏览器安全2.1 同源策略 &
原创
2015-08-01 00:30:19
533阅读
第6章 HTML 5 安全6.1 HTML 5新标签6.1.1 新标签的XSSHTML5定义了新的标签、新的事件,这就有可能带来新的XSS攻击。所以黑白名单需要时常更新。6.1.2 iframe的sandboxiframe的sandbox属性,就是html5安全中很重要的组成部分部分。于此同时还带来了一个新的mime类型,text-html/sandboxed。在html5页面中,可以使用ifra
原创
2016-10-08 21:41:00
845阅读
声明: 读书笔记是我在阅读过程中做的一些笔记,并在其中添加自己的思考。文章中会涉及到部分书籍原文内容,如有侵权,请联系告知并删除。 原文一切版权归本书作者所有,其他思考痕迹保留所有权。========================================第一章 我的安全世界观 1
原创
2015-05-27 11:18:31
1303阅读
第10章 访问控制10.1 what can i do?权限控制是值某个主体(身份)对某一个客体需要实施某种操作,而系统对这种操作的限制就是权限控制。在一个安全系统中,确定主题的身份是“认证”解决的问题;而客体是胭脂红资源,是主题发起的请求对象。在主体对客体进行操作的过程,系统控制主体不能“无限制”地对客体进行操作,这过程就是“访问控制”。在WEB应用中,根据访问楷体的不同,常见的访问控制可以分为
原创
2016-10-08 21:45:28
912阅读
