关键词：

第1章 我的安全世界观

1.1 web安全简史

1.1.1 中国黑客简史

现在中国乃至全世界的黑客或者说是骇客已经进入了“黑暗时代”，因为互联网存在这大量的利益。

1.1.2 黑客技术的发展历程

1.1.3 web安全的兴起

web安全是信息安全领域的一个重要的分支，但是中国目前对web安全的重视程度远远不足。

为什么要攻击Web应用，我认为主要有以下几个原因：

q  web应用无处不在。

q  相比较与操作系统等的安全防御能力，攻破web更容易一些。

q  攻击web可以来无影去无踪，具有匿名性。

q  编写web应用的人的水平和安全意识良莠不齐，漏洞很多。

q  Web应用安全技术不成熟。

q  最重要的是攻击web应用会获得金钱的等利益。

 

web的攻击与防御手段是在交替的发展。

1.2 黑帽子，白帽子

研究安全的人多了，世界就不再安全了。

1.3 返璞归真，揭秘安全的本质

书中多次提到“安全的本质是信任问题”，但是我认为安全的本质是权限问题。

1.4 破除迷信，没有银弹

安全技术是在攻与防中得到提升的。

1.5 安全三要素

书中只要讲解了安全的基本三要素，但是安全不止是三要素。

可用性（Availability）：得到授权的实体在需要时可访问资源和服务。可用性是指无论何时，只要用户需要，信息系统必须是可用的，也就是说信息系统不能拒绝服务。网络最基本的功能是向用户提供所需的信息和通信服务，而用户的通信要求是随机的，多方面的（话音、数据、文字和图像等），有时还要求时效性。网络必须随时满足用户通信的要求。攻击者通常采用占用资源的手段阻碍授权者的工作。可以使用访问控制机制，阻止非授权用户进入网络，从而保证网络系统的可用性。增强可用性还包括如何有效地避免因各种灾害（战争、地震等）造成的系统失效。 完整性（Integrity）：信息不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏的特性。只有得到允许的人才能修改实体或进程，并且能够判别出实体或进程是否已被篡改。即信息的内容不能为未授权的第三方修改。信息在存储或传输时不被修改、破坏，不出现信息包的丢失、乱序等。 可靠性（Reliability）：可靠性是指系统在规定条件下和规定时间内、完成规定功能的概率。可靠性是网络安全最基本的要求之一，网络不可靠，事故不断，也就谈不上网络的安全。目前，对于网络可靠性的研究基本上偏重于硬件可靠性方面。研制高可靠性元器件设备，采取合理的冗余备份措施仍是最基本的可靠性对策，然而，有许多故障和事故，则与软件可靠性、人员可靠性和环境可靠性有关。 保密性（Confidentiality）：保密性是指确保信息不暴露给未授权的实体或进程。即信息的内容不会被未授权的第三方所知。这里所指的信息不但包括国家秘密，而且包括各种社会团体、企业组织的工作秘密及商业秘密，个人的秘密和个人私密（如浏览习惯、购物习惯）。防止信息失窃和泄露的保障技术称为保密技术。 不可抵赖性（Non-Repudiation）：也称作不可否认性。不可抵赖性是面向通信双方（人、实体或进程）信息真实同一的安全要求，它包括收、发双方均不可抵赖。一是源发证明，它提供给信息接收者以证据，这将使发送者谎称未发送过这些信息或者否认它的内容的企图不能得逞；二是交付证明，它提供给信息发送者以证明这将使接收者谎称未接收过这些信息或者否认它的内容的企图不能得逞。

 

1.6 如何实施安全评估

1.6.1 资产等级划分

价值越高需要的安全等级越高。资产等级的划分依据——资源的价值。

在生产实践中对于互联网而言数据的价值是最高的。

1.6.2 威胁分析

分析现有的制度或防御措施，找出可能会造成威胁的漏洞。

1.6.3 风险分析

对找到的漏洞，按其发生概率、危害程度等进行排序，表示其优先级。

1.6.4 设计安全方案

安全方案的设计依据是安全的评估，而不是没有调研的想象。

安全与成本需要达到一个平衡。需要说明的是这里的成本不仅仅是指金钱，还有业务的效率，业务的逻辑等。

一个好的安全方案，应符合用户的使用习惯，应人性化、智能化、高效简单。

1.7 白帽子兵法

1.7.1 secure bydefault原则

安全就像接口设计一样，只给用户需要的。所以“白名单”模式更加好一些。

安全最为重要的是安全意识.安全意识比任何安全防范更加有用。

还有就是最小获取原则，在此之前，我写判断用户是否存在的SQL代码时，一般为“select* from admin where name=‘qiang’ andpassword=‘123456’”。这是不安全的，我以后要写为“select count(*)from admin where name=‘qiang’ andpassword=‘123456’”

 

1.7.2 纵深防御原则

含义：一、在各个层面，各个不同方面实施安全，避免出现疏漏，不同安全方案需要相互配合，构成一个整体；二、安全方案需要治本。

对于富文本的xss防御,我目前可以实现的处理方式是使用"白名单".但是白名单还是会出现一些较为严重的漏洞.所以我还需要继续关注富文本的XSS攻击。

 

1.7.3 数据与代码分离原则

该原则主要应用与“注入”场景。

1.7.4 不可预测性原则

对于不可预测的使用，我之前也有过思考.我在使用猎豹浏览器的时候发现,百度的广告被过滤了.所以我认真的看了一下，发现，原来百度的广告都是写在一个Id=content_right的div之中，这就给浏览器过滤的机会了。应该把这个div的属性id或其他的属性随机化，让浏览器无法知道它的确切位置。

1.8 小结

我是非常赞成,安全是一种平衡艺术的说法,因为我们需要做到的是安全与成本的平衡。

本文出自 “梦朝思夕” 博客，请务必保留此出处http://qiangmzsx.blog.51cto.com/2052549/1859544

《白帽子讲web安全》学习笔记之第12章web框架安全

第12章WEB框架安全12.1MVC框架安全在Spring框架中可以使用springsecurity来增加系统的安全性。12.2模板引擎与XSS防御 12.3WEB框架与CSRF防御在MVC中防御CSRF：q 在Session中绑定token。如果不能保存到数据库中的Session，则使用Cookie.q ... 查看详情

《白帽子讲web安全》学习笔记之第18章安全运营

第18章安全运营18.1把安全运营起来战略：q 寻找漏洞并修补--漏洞修补q 防御快速响应--安全监控q 规范开发流程--入侵检测18.2漏洞修补流程流程：q 建立类似BugTracker的漏洞跟踪机制，并为漏洞的紧急程序选择优先级... 查看详情

《白帽子讲web安全》学习笔记之第15章webserver配置安全

第15章webserver配置安全15.1apache安全在linux部署安装webServer时候一定主要要使用“最小权限原则”。尽量不要使用root部署。15.2nginx安全Nginx安全配置指南技术手册PDF下载免费下载地址在http://linux.linuxidc.com/用户名与密码都是www.linuxid... 查看详情

《白帽子讲web安全》学习笔记之第2章浏览器安全

第2章浏览器安全2.1同源策略同源策略是浏览器的安全基础。同源策略的作用是让"document"相互独立。影响“源”的因素：host(域名或IP,如果是IP地址则看做一个根域名)，子域名，端口，协议。注意：对于当前页面来说，页面内存... 查看详情

《白帽子讲web安全》学习笔记之第7章注入攻击

第7章注入攻击SQL注入的两个条件：1,用户可以控制输入；2，原本执行的SQL语句并接了用户输入的数据。7.1sql注入SQL注入，就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意... 查看详情

《白帽子讲web安全》学习笔记之第17章安全开发流程（sdl）

第17章安全开发流程（SDL）17.1SDL简介安全开发是从根源有效地解决安全漏洞问题，而已在软件的生命周期内，这样的开发模式成本更低。SDL过程：q 培训所有的开发人员必须接收适当的安全培训，了解相关的安全知识。q ... 查看详情

《白帽子讲web安全》学习笔记之第10章访问控制

第10章访问控制10.1whatcanido?权限控制是值某个主体（身份）对某一个客体需要实施某种操作，而系统对这种操作的限制就是权限控制。在一个安全系统中，确定主题的身份是“认证”解决的问题；而客体是胭脂红资源，是主题发... 查看详情

《白帽子讲web安全》学习笔记之第3章跨站脚本攻击（xss）

第3章跨站脚本攻击（xss）3.1xss简介恶意攻击者往Web页面里插入恶意html代码，当用户浏览该页之时，嵌入其中Web里面的html代码会被执行，从而达到恶意用户的特殊目的。XSS攻击：跨站脚本攻击(CrossSiteScripting)，为不和层叠样式表(... 查看详情

《白帽子讲web安全》学习笔记之第8章文件上传漏洞

第8章文件上传漏洞8.1文件上传漏洞概述文件上传漏洞是指用户上传一个可执行的脚本文件，并通过此脚本文件活动执行服务器端的能力。原理：由于文件上传功能实现代码没有严格限制用户上传的文件后缀以及文件类型，导致... 查看详情

《白帽子讲web安全》学习笔记之第11章加密算法与随机数

第11章加密算法与随机数11.1概述攻击密码系统的方法密码分析者攻击密码系统的方法主要有以下三种：（1）穷举攻击   所谓穷举攻击是指密码分析者采用依次试遍所有可能的密钥对所获密文进行解密，直至得到正确... 查看详情

《白帽子讲web安全》学习笔记之第9章认证与会话管理

第9章认证与会话管理9.1whoami?认证包含了身份和身份认证两层含义。q 身份—我是谁？q 身份认证—这就是我。认证的目的就是为了认出用户是谁？而授权的目的是为了决定用户能够做什么。认证实际上就是一个验证凭证... 查看详情

《白帽子讲web安全》学习笔记之第4章跨站点请求伪造（csrf）

第4章跨站点请求伪造（CSRF）4.1CSRF简介CSRF（Cross-siterequestforgery跨站请求伪造，也被称为“oneclickattack”或者sessionriding，通常缩写为CSRF或者XSRF，是一种对网站的恶意利用。CSRF是一种依赖web浏览器的、被混淆过的代理人攻击（deput... 查看详情

《白帽子讲web安全》学习笔记之第5章点击劫持（clickjacking）

第5章点击劫持（clickjacking）5.1什么是点击劫持点击劫持是一种视觉上的欺骗手段。是一种在网页中将恶意代码等隐藏在看似无害的内容（如按钮）之下，并诱使用户点击的手段。主要特征q 点击劫持是一种恶意攻击技术，用... 查看详情

《白帽子讲web安全》学习笔记之第13章应用层拒绝服务攻击

第13章应用层拒绝服务攻击13.1ddos简介DDoS攻击通过大量合法的请求占用大量网络资源，以达到瘫痪网络的目的。这种攻击方式可分为以下几种：q 通过使网络过载来干扰甚至阻断正常的网络通讯；q 通过向服务器提交大量... 查看详情

白帽子讲web安全（精写含思维导图）(代码片段)

...一篇世界观安全第一章我的世界安全观1.1Web安全简史1.2黑帽子，白帽子1.3返璞归真，揭秘安全的本质1.5安全三要素机密性完整性可用性1.6如何实施安全评估资产等级划分威胁分析（威胁建模STRIDE模型）Spoofing（... 查看详情

《白帽子讲web安全》世界观安全

...f0c;也逐渐转移到了Web这块大蛋糕上。1.3Web安全的兴起2.黑帽子，白帽子正如一个硬币有两面一样，“黑客”也有好坏之分。在黑客的世界中，往往用帽子的颜色来比喻黑客的好坏。3.返璞归真，揭秘安全的本质安... 查看详情

想成为白帽子需要学些啥？最近在看《白帽子讲web安全》，可是发现自己看不懂，学校有在学web编程

想成为白帽子需要学些什么？最近在看《白帽子讲web安全》，可是发现自己看不懂，学校有在学web编程基础（html5.css.js），除了这个我还需要学些什么的。1、学习基本的网络编程语言，比如html2、学习脚本编程语言，比如python，... 查看详情

白帽子讲web安全第六章html5安全

1、新标签的XSS   H5中定义类很多新标签、新事件可能带来XSS(为研究XSS攻击H5的变化成立项目----HTML5SecurityCheatsheet)   eg:    1) <videosrc="" onloadedmetadate="alter(XSS)"&g 查看详情