1、安全问题的本质是信任的问题;

安全是一个持续的过程;

安全三要素:

机密性 confidentiality 数据内容不能泄露,常用手段:加密

完整性 integrity 数据内容完整、不被篡改,常用手段:数字签名

可用性 availability 保护资源“随需而得”

安全评估:资产等级划分、威胁分析、风险分析、确认解决方案;

2、互联网安全的核心问题:数据安全

威胁分析建模:STRIDE

风险评估模型:DREAD

一个好的安全方案:

能够有效解决问题

用户体验好

高性能

低耦合

易于扩展与升级

3、白帽子兵法

1)Secure by default原则 可归纳为白名单、黑名单思想,应尽量使用白名单;

最小权限原则

2)纵深防御原则

a)要在不同层面、不同方面实施安全方案,避免疏漏,不同安全方案之间相互配合,构成一个整体;

b)要在正确的地方做正确的事情,即在解决根本问题的地方实施针对性的安全方案;

3)数据与代码分离原则 严防各种“注入”、“缓冲区溢出”

4)不可预测性原则 有效克服攻击方法,对抗基于篡改、伪造的攻击

《白帽子讲web安全》读书笔记系列15:我(吴翰清)的安全世界观相关推荐

  1. 白帽子讲web安全 ——读书笔记:术语和理论

    最近心血来潮,对安全这些略感兴趣,就买了本 白帽子讲web安全 看看 ,这里做个读书笔记吧!方便啥时候忘了再看一下. exploit--漏洞利用代码 Script kids --脚本小子,利用expl ...

  2. 白帽子讲WEB安全读书笔记(慢慢更新)

    道哥写的白帽子讲WEB安全的读书笔记 文章目录 2020.3.23 ◆ 前言 ◆ 第一篇 世界观安全 1.1 Web安全简史 >> 1.1.1 中国黑客简史 >> 1.1.2 ...

  3. 白帽子讲Web安全读书笔记

    Part1:安全的发展,或者说,黑客的发展 黑客是什么? 互联网本来是安全的,自从有了研究安全的人之后,互联网就变得不安全了. "root"对黑客的吸引,就像大米对老鼠,美女对色狼 ...

  4. 白帽子讲web安全读书笔记(Ⅰ)

    一.我的安全世界观 1.1999年sql注入是web安全的里程碑,2003年MySpace发生XSS蠕虫后XSS引起关注. 2.黑帽:找到一个弱点  白帽:加固所有脆弱 (心态不同,目的不同) 3.安 ...

  5. 《白帽子讲Web安全》笔记 - 白帽子兵法

    Secure By Default 原则 "Secure by Default"原则,也可以归纳为白名单.黑名单的思想. 黑名单.白名单 尽可能使用白名单,不使用黑名单.例如:要做 ...

  6. 《白帽子讲Web安全》学习笔记

    一.为何要了解Web安全 最近加入新公司后,公司的官网突然被Google标记为了不安全的诈骗网站,一时间我们信息技术部门成为了众矢之的,虽然老官网并不是我们开发的(因为开发老官网的前辈们全都跑路了). ...

  7. 分享笔记1 之《白帽子讲web安全》

    分享笔记1 之<白帽子讲web安全> 目录 第一篇 世界观安全 第1章 我的安全世界观 2 1.1 web安全简史 2 1.1.1 中国黑客简史 2 1.1.2 黑客技术的发展历程 3 1 ...

  8. 初出牛犊的站长读《白帽子讲web安全》有感

    初出牛犊的站长读<白帽子讲web安全>有感 一.前言--一百个读者的心目中有一百个哈姆雷特 前言的作者经历,会是每个初初恋上计算机的学生碰到的事.曾记得当时候,我第一次接触病毒是在初中的科 ...

  9. 白帽子讲Web安全(纪念版)

    作者:吴翰清 出版社: 电子工业出版社 品牌:博文视点 出版时间:2021-05-01 白帽子讲Web安全(纪念版)

  10. 白帽子讲web安全——认证与会话管理

    在看白帽子讲web安全,刚好看到认证与会话管理:也就是我们在平常渗透测试中遇到最多的登录页面,也即是用户名和密码认证方式,这是最常见的认证方式. 了解两个概念:认证和授权 1):认证的目的是为了认出用 ...

最新文章

  1. Zookeeper概念学习系列之分布式事务
  2. python 均值漂移
  3. android SDK manager 无法获取更新版本列表
  4. 详述JavaScript数组
  5. WCF生成客户端对象方式解析
  6. Tomcat/weblogic session失效时间的几种设置方法
  7. Comet OJ - Contest #0题解
  8. google_protobuf数据类型
  9. Android学习笔记——保存数据到SQL数据库中(Saving Data in SQL Databases)
  10. Linux多进程编程(2)
  11. Animate.css动画库下载、安装、使用与解析
  12. 《算法导论》(第3版)第4章练习答案
  13. 小学生如何学计算机,作为小学生该如何学编程?
  14. python 短信_Python怎么接收手机短信?
  15. 对其他小组作评的评价
  16. 单片机仿真指示灯开关控制器
  17. 【Unity入门计划】Unity2D动画(1)-动画系统的组成及功能的使用
  18. js 实现经纬度转 城市-区县-街道
  19. JVM(四)--垃圾收集器
  20. 从苏宁电器到卡巴斯基第25篇:难忘的三年硕士时光 I

热门文章

  1. CDR可以打开ai文件吗?
  2. 帝国突围改版box渗透
  3. Android 多语言:is not translated in cs (Czech), de (German), ru (Russian), sk (Slovak)
  4. openstack资源使用情况查询
  5. Adaboost Adaptive Boosting
  6. 预处理CNN/DailyMail数据集
  7. Mapxtreme中的胖客户端、瘦客户端及中型客户端介绍
  8. python|211110
  9. 圆周率计算法公式算法(圆周率公式算法)
  10. 【ACM算法】-- 数学问题篇 - 进制转换