基本概念

  • 安全问题本质是信任问题
设计安全方案的基础都是建立在信任关系上的,我们必须相信一些东西,必须有一些基本的假设,安全方案才能建立。
  • 安全是一个持续的过程
安全是一个持续的过程,攻击方式在变,防御方式也在变

安全要素

  • CIA
名称 英文名 说明
机密性 confidential 要求保密的数据内容不能被泄露
完整性 integrity 数据不能被篡改,是完整的
可用性 availability 保护资源可以得到,DOS
  • 扩充的一些要素:可审计性不可抵赖性

安全评估

  1. 资产登记划分
    网络安全的核心问题时数据安全,因此,我们主要对数据的等级进行划分,当然对于服务器等固有资产主要从管理,物理安全角度去考虑.
    当我们对数据安全划分后,然后就想划分信任域和信任边界。如网络逻辑:Data Store --> web_app --> internet

  2. 威胁分析

    1. 威胁(Threat:可能造成危害的来源
    2. 了解stride模型
威胁 定义 对应安全属性
spoofing 伪装 冒充他人身份 认证
Tampering 篡改 修改数据或代码 完整性
Repudiation 否认做过的事情 不可抵赖
Information Disclosure 信息泄露 机密信息泄露 机密性
Denial of Service 拒绝服务 DOS 可用性
Elevation of Privilege 提升权限 未授权访问 授权

  1. 风险分析

    1. 风险:可能造成的损失,公式
    Risk = Probability * Damage Potential (可能性 * 损失严重程度)
    1. Dread模型
等级
Damage Protential 损失严重程度 提权,非法文件上传 泄露敏感信息 泄露其他数据
Reproducibility 可重复 随意再次攻击 重复,有时限 很难重复
Exploitability 可利用度 好利用 高级黑客才能 利用环境太难
Affected User 所有用户,默认用户,关键用户 部分用户,非默认用例 匿名用户
Discoverability 暴露性 很显眼 需要深入挖掘 发现极为困难
  1. 设计安全方案

    • 能有效解决问题
    • 用户体验好
    • 高性能
    • 低耦合
    • 易于扩展和升级

白帽子兵法

  1. Secure By Default
    黑白名单原则
    尽可能用白名单,但白名单的度必须得到控制,比如匹配字符串用了“*”,就比较危险
    最小权限原则
    减少暴露面

  2. 纵深防御原则
    考虑全面,在不同层面,不同方面实施安全方案,避免出现疏漏,方案之间关联形成整体
    原因:没有什么防御方案是万能,比如一个入侵案例中,攻击者可能经历多个攻击环节(获取权限,上传文件,提权,渗透内网等),
    如果我们攻击环节都有相关的安全措施,入侵难度就会增加
    在正确的地方做正确的事
    安全方案实施地点要有效,比如xxs只有在html显示时才能生效,过滤特殊字符串是一种常用手法,但过滤要考虑实际输出,不能任何情况都去过滤,改变用户的输入意图。也就是说,简单在系统获取输入时时就对变量过滤特殊字符,很容易误杀。最好是再拼装html时,系统获取html上下文语意后,决定需要过滤的字符串,来避免误杀情况

  3. 数据与代码分离原则
    这个是解决注入问题的基本思路。不同的注入手法,有不同的解决方式

  4. 不可预测原则

    1. 缓冲区溢出场景,我们通过ASLR技术,让程序每次启动,进程的栈基值都不相同。
    2. 序号管理将数字升序排序改为字符串随机
    3. CSRF中的token

白帽子(1)-web世界观相关推荐

  1. 读白帽子讲WEB安全,摘要

    读<白帽子讲WEB安全>摘要 文章目录 我的安全世界观 安全三要素-CIA 如何实施安全评估 白帽子兵法 客户端安全 浏览器安全 同源策略 浏览器沙箱 恶意网址拦截 高速发展的浏览器安全 ...

  2. 白帽子讲WEB安全读书笔记(慢慢更新)

    道哥写的白帽子讲WEB安全的读书笔记 文章目录 2020.3.23 ◆ 前言 ◆ 第一篇 世界观安全 1.1 Web安全简史 >> 1.1.1 中国黑客简史 >> 1.1.2 ...

  3. 在学习web安全的小白看过来,这本《白帽子讲web安全》强烈推荐,必读!(附PDF)

    Web是互联网的核心,是未来云计算和移动互联网的最佳载体,因此Web安全也是互联网公司安全业务中最重要的组成部分. 前排提醒:文末有pdf领取 下面来看看几种常见的web漏洞: 1.XSS跨站脚本攻击 ...

  4. 《白帽子讲Web安全》读后感 —— 对道哥的致敬

    <白帽子讲Web安全>读后感 --Deep Blue (一个安全小兵的感受) 这是一篇作业:这是一篇读后感:这是一篇记录安全的感悟:这是一篇对道哥的敬仰:这是我安全启蒙的钥匙...... ...

  5. 《白帽子讲Web安全 -- 纪念版 吴翰清著》读后随笔

    <白帽子讲Web安全 – 纪念版 吴翰清著> 该书大多数内容举例大多数是2010年左右的 相隔11年左右, 但是内容并没有被淘汰, 感觉很适合入门, 因为内容详细且比较基础 当然, 这只是 ...

  6. 学习web安全,强烈推荐这本《白帽子讲web安全》!

    Web是互联网的核心,是未来云计算和移动互联网的最佳载体,因此Web安全也是互联网公司安全业务中最重要的组成部分. 下面来看看几种常见的web漏洞: 1.XSS跨站脚本攻击 XSS跨站脚本攻击,通常指 ...

  7. 分享笔记1 之《白帽子讲web安全》

    分享笔记1 之<白帽子讲web安全> 目录 第一篇 世界观安全 第1章 我的安全世界观 2 1.1 web安全简史 2 1.1.1 中国黑客简史 2 1.1.2 黑客技术的发展历程 3 1 ...

  8. 白帽子讲Web安全(纪念版)

    作者:吴翰清 出版社: 电子工业出版社 品牌:博文视点 出版时间:2021-05-01 白帽子讲Web安全(纪念版)

  9. 白帽子讲web安全——认证与会话管理

    在看白帽子讲web安全,刚好看到认证与会话管理:也就是我们在平常渗透测试中遇到最多的登录页面,也即是用户名和密码认证方式,这是最常见的认证方式. 了解两个概念:认证和授权 1):认证的目的是为了认出用 ...

  10. 读《白帽子讲Web安全》之客户端脚本安全(一)

    2019独角兽企业重金招聘Python工程师标准>>> [第2章  浏览器安全] 1.同源策略(Same Origin Policy)是一种约定,它是浏览器最核心也最基本的安全功能. ...

最新文章

  1. java jdbc连接数据库的设计
  2. 梳理十年Kaggle竞赛,看自然语言处理的变迁史
  3. 远程桌面连接出现身份验证错误。 要求的函数不受支持,这可能是由于 CredSSP 加密 Oracle 修正。...
  4. Android AOP之字节码插桩
  5. 学Java需要什么技巧呢?分享这4个
  6. 20135206于佳心【家庭作业汇总】
  7. 如何使用网上下载的arcgis工具箱,报错汇总
  8. C/C++语言以某符号分割字符串
  9. c语言随机读写信息fetch,北京大学信息科学技术学院考试试卷-计算机系统导论-期中-2015(16页)-原创力文档...
  10. (68)Verilog HDL系统函数和任务:$random
  11. C/C++ const
  12. 测试员,你该如何面对自己30岁后的下坡路?
  13. brother标签打印软件_标签打印软件如何调整字体高度
  14. Oracle 11g简体中文版的安装过程及图解
  15. LabVIEW Arduino ZigBee无线气象站(项目篇—3)
  16. 郝斌老师 c语言学习笔记
  17. 短视频代运营服务内容
  18. 进度条Progress的用法介绍
  19. c语言求1平方根,c语言求平方根公式
  20. Handler基本使用(一) new Handler

热门文章

  1. Effective Java 2.0_中英文对照_Item 6
  2. 【Wing Loss】《Wing Loss for Robust Facial Landmark Localisation with Convolutional Neural Networks》
  3. (摘自CSDN的koy0755)一步一步实现数据库到类的自动化映射(二) 类层次的设计 类的实现...
  4. group by 和 having 用法
  5. 如何使用分布式管理工具:Git
  6. 2018安徽省考c语言笔试答案,2018年安徽公务员考试行测真题解读
  7. Vue进阶(六十八):JS 判断当前浏览器是否为 IE
  8. HC32F460 浮点运算开启
  9. “海纳百川”下载器的使用方法
  10. redhat下软件安装