关键词:
好书推荐写web必须知道的安全知识|《白帽子讲web安全》
...小雨青年,一名程序员。今天为你推荐的书籍是《白帽子讲Web安全》。作为写后台的你,是否困惑用户输入应该提防哪些方面?作为写前端的你,是否已经注意页面能不能执行用户输入的脚本?作为产品经理的你... 查看详情
《白帽子讲web安全》学习笔记之第12章web框架安全
第12章WEB框架安全12.1MVC框架安全在Spring框架中可以使用springsecurity来增加系统的安全性。12.2模板引擎与XSS防御 12.3WEB框架与CSRF防御在MVC中防御CSRF:q 在Session中绑定token。如果不能保存到数据库中的Session,则使用Cookie.q ... 查看详情
《白帽子讲web安全》学习笔记之第15章webserver配置安全
第15章webserver配置安全15.1apache安全在linux部署安装webServer时候一定主要要使用“最小权限原则”。尽量不要使用root部署。15.2nginx安全Nginx安全配置指南技术手册PDF下载免费下载地址在http://linux.linuxidc.com/用户名与密码都是www.linuxid... 查看详情
《白帽子讲web安全》学习笔记之第18章安全运营
第18章安全运营18.1把安全运营起来战略:q 寻找漏洞并修补--漏洞修补q 防御快速响应--安全监控q 规范开发流程--入侵检测18.2漏洞修补流程流程:q 建立类似BugTracker的漏洞跟踪机制,并为漏洞的紧急程序选择优先级... 查看详情
《白帽子讲web安全》学习笔记之第1章我的安全世界观
第1章我的安全世界观1.1web安全简史1.1.1中国黑客简史现在中国乃至全世界的黑客或者说是骇客已经进入了“黑暗时代”,因为互联网存在这大量的利益。1.1.2黑客技术的发展历程1.1.3web安全的兴起web安全是信息安全领域的一个重... 查看详情
想成为白帽子需要学些啥?最近在看《白帽子讲web安全》,可是发现自己看不懂,学校有在学web编程
想成为白帽子需要学些什么?最近在看《白帽子讲web安全》,可是发现自己看不懂,学校有在学web编程基础(html5.css.js),除了这个我还需要学些什么的。1、学习基本的网络编程语言,比如html2、学习脚本编程语言,比如python,... 查看详情
《白帽子讲web安全》学习笔记之第17章安全开发流程(sdl)
第17章安全开发流程(SDL)17.1SDL简介安全开发是从根源有效地解决安全漏洞问题,而已在软件的生命周期内,这样的开发模式成本更低。SDL过程:q 培训所有的开发人员必须接收适当的安全培训,了解相关的安全知识。q ... 查看详情
《白帽子讲web安全》学习笔记之第2章浏览器安全
第2章浏览器安全2.1同源策略同源策略是浏览器的安全基础。同源策略的作用是让"document"相互独立。影响“源”的因素:host(域名或IP,如果是IP地址则看做一个根域名),子域名,端口,协议。注意:对于当前页面来说,页面内存... 查看详情
《白帽子讲web安全》学习笔记之第16章互联网业务安全
第16章互联网业务安全16.1产品需要什么样的安全安全是一个独立的,应该与业务持平。16.1.1互联网产品对安全的需求安全性是产品特性的一个组成部分,具备了安全性,产品才是完整的;安全做好了,产品才是最终正真的成熟。... 查看详情
《白帽子讲web安全》学习笔记之第10章访问控制
第10章访问控制10.1whatcanido?权限控制是值某个主体(身份)对某一个客体需要实施某种操作,而系统对这种操作的限制就是权限控制。在一个安全系统中,确定主题的身份是“认证”解决的问题;而客体是胭脂红资源,是主题发... 查看详情
《白帽子讲web安全》学习笔记之第8章文件上传漏洞
第8章文件上传漏洞8.1文件上传漏洞概述文件上传漏洞是指用户上传一个可执行的脚本文件,并通过此脚本文件活动执行服务器端的能力。原理:由于文件上传功能实现代码没有严格限制用户上传的文件后缀以及文件类型,导致... 查看详情
《白帽子讲web安全》学习笔记之第7章注入攻击
第7章注入攻击SQL注入的两个条件:1,用户可以控制输入;2,原本执行的SQL语句并接了用户输入的数据。7.1sql注入SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意... 查看详情
白帽子讲web安全(精写含思维导图)(代码片段)
...一篇世界观安全第一章我的世界安全观1.1Web安全简史1.2黑帽子,白帽子1.3返璞归真,揭秘安全的本质1.5安全三要素机密性完整性可用性1.6如何实施安全评估资产等级划分威胁分析(威胁建模STRIDE模型)Spoofing(... 查看详情
《白帽子讲web安全》学习笔记之第9章认证与会话管理
第9章认证与会话管理9.1whoami?认证包含了身份和身份认证两层含义。q 身份—我是谁?q 身份认证—这就是我。认证的目的就是为了认出用户是谁?而授权的目的是为了决定用户能够做什么。认证实际上就是一个验证凭证... 查看详情
《白帽子讲web安全》学习笔记之第3章跨站脚本攻击(xss)
第3章跨站脚本攻击(xss)3.1xss简介恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。XSS攻击:跨站脚本攻击(CrossSiteScripting),为不和层叠样式表(... 查看详情
《白帽子讲web安全》学习笔记之第4章跨站点请求伪造(csrf)
第4章跨站点请求伪造(CSRF)4.1CSRF简介CSRF(Cross-siterequestforgery跨站请求伪造,也被称为“oneclickattack”或者sessionriding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。CSRF是一种依赖web浏览器的、被混淆过的代理人攻击(deput... 查看详情
《白帽子讲web安全》世界观安全
...f0c;也逐渐转移到了Web这块大蛋糕上。1.3Web安全的兴起2.黑帽子,白帽子正如一个硬币有两面一样,“黑客”也有好坏之分。在黑客的世界中,往往用帽子的颜色来比喻黑客的好坏。3.返璞归真,揭秘安全的本质安... 查看详情
《白帽子讲web安全》学习笔记之第5章点击劫持(clickjacking)
第5章点击劫持(clickjacking)5.1什么是点击劫持点击劫持是一种视觉上的欺骗手段。是一种在网页中将恶意代码等隐藏在看似无害的内容(如按钮)之下,并诱使用户点击的手段。主要特征q 点击劫持是一种恶意攻击技术,用... 查看详情