白帽子讲Web安全读书笔记

最新推荐文章于 2025-12-23 09:04:28 发布
原创 最新推荐文章于 2025-12-23 09:04:28 发布 · 394 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web安全 #安全

本文探讨了作者的安全世界观,包括安全历史、黑客发展、Web安全关键问题如XSS和SQL注入,以及黑白帽黑客的区分。重点介绍了客户端和服务端的安全措施,强调了安全作为信任和持续过程的重要性,以及机密性、完整性和可用性的三要素。

-- 书的结构

4大篇共18章:

  1. 我的安全世界观:安全历史->作者对安全的看法与态度->思考问题的方式和做事的方法
  2. 客户端脚本攻击:对浏览器的深入理解将有助于做好该解决方案
  3. 服务端应用安全:网站安全建设之初的重点处理问题
  4. 大安全运营的思想

1 第一章

1.1 知识补充

exploit:黑客们使用的漏洞利用代码。

脚本小子(网络犯罪的主要人物):自己不会编exploit,只懂得编译别人的exploit的黑客。

XSS: 跨站脚本攻击

SSH:全称Secure Shell,即安全外壳协议,是一种在不安全网络上提供安全远程登录及其它安全网络服务的协议。

webshell:可执行脚本。

1.2 Web安全简史

1.2.1 黑客简史

黑客发展阶段:启蒙 -> 黄金 -> 黑暗时代。

1.2.2 Web安全

几个重要部分:

  1. SQL注入漏洞
  2. XSS

1.3 黑帽子,白帽子

白帽子:那些精通安全技术,但是工作在反黑客领域的专家们

黑帽子:利用黑客技术造成破坏,甚至进行网络犯罪的群体。

1.4 安全的本质

安全问题的本质是信任的问题。安全是一个持续的过程。

安全三要素:

机密性( Confidentiality )

完整性( Integrity ) 、

可用性( Availability )。

白帽子Web安全 读书笔记
03-12
### 白帽子Web安全读书笔记一:关键知识点解析 #### 第零篇 总览 - **客户端脚本安全**:这部分主要关注浏览器环境下的安全问题,包括浏览器自身的安全机制以及用户与网页交互过程中可能遇到的安全风险。 - **...
白帽子Web安全读书笔记
04-13
读《白帽子Web安全》后整理的笔记,mmap文件格式,推荐用mind manager打开
读书笔记】《白帽子web安全》浏览器安全
uuzeray的博客
01-07 1964
除了这些安全功能外,浏览器的用户体验也越来越好,随之而来的是许多标准定义之外的“友好”功能(如畸形URL修正),但很多程序员并不知道这些新功能,从而可能导致一些安全隐患。浏览器加载的插件也是浏览器安全需要考虑的一个问题,扩展和插件极大地丰富浏览器功能,除了插件可能存在漏洞外,插件本身也可能会有恶意行为。扩展和插件的权限都高于页面js的权限,比如可以进行一些跨域网络请求等。
白帽子WEB安全读书笔记(慢慢更新)
温柔小薛的博客
03-23 1584
道哥写的白帽子WEB安全读书笔记
白帽子web安全读书笔记
Daylight
08-10 484
安全世界观 安全的本质是信任问题。 安全是一个持续的过程,不可能一劳永逸。 安全三要素:机密性,完整性,可用性 实施安全评估:资产等级划分,威胁分析(微软STRIDE模型),风险分析(DREAD),确认解决方案。 互联网安全的核心问题是数据安全问题 设计安全方案 Secure By Default原则 黑白名单 最小权限原则 纵深防御原则 数据与代码分离原则(适用于由于注入引发的安全场景) 不可预测性原则 浏览器安全 同源策略 浏览器的同源策略限制了来自不同源的Document或脚本对当前Doc
白帽子web安全 读书笔记
think_ycx的专栏
04-18 1776
回顾一下经典
笔记《白帽子Web安全》吴翰清
热门推荐
繁星点点~
03-13 1万+
第一篇:世界观安全第一章:我的安全世界观一个网站的数据库,在没有任何保护的情况下,数据库服务端口是允许任何人随意连接的;在有了防火墙的保护后,通过ACL可以控制只允许信任来源的访问。这些措施在很大程度上保证了系统软件处于信任边界之内,从而杜绝了绝大部分的攻击来源。1.1.3Web安全的兴起常见攻击:SQL注入,XSS(跨站脚本攻击)“破坏往往比建设容易”,但凡事都不是绝对的。一般来说,白帽子选择的...
白帽子web安全读书笔记(Ⅰ)
weixin_30731287的博客
06-05 131
一.我的安全世界观 1.1999年sql注入是web安全的里程碑,2003年MySpace发生XSS蠕虫后XSS引起关注。 2.黑帽:找到一个弱点 白帽:加固所有脆弱 (心态不同,目的不同) 3.安全的本质:信任集 | 非信任集 (信任边界) 将未知对象过滤之后划分至信任集合与非信任集合。 4.没有银弹,持续过程。 5.三要素CIA,机密性,完整性,可用性。及可审计性和不可抵赖性...
读书笔记】《白帽子web安全》我的安全世界观
uuzeray的博客
01-06 1524
即将考试周了,考前死盯着那几门复习不是我的作风,但花大功夫去学一些新的技术时间会有些吃紧。所以翻出这本尘封已久的道哥著作,挑战这本让三个月前的自己败下阵来的小部头,希冀每天有所思考有所沉淀,深化对web安全的理解。冷静下来,暂时从具体的技术细节脱身,冷静审视安全本身为何。“种一棵树的最好时间是十年前,其次是现在。
白帽子web安全读书笔记(第一章)
weixin_43618066的博客
11-02 241
1.web发展史: (1)其实早期黑客攻击的系统软件居多。因为当年的web还没发展,而且攻击系统软件很香,直接可以拿到root权限。黑客早期使用了ssh的exploit(exploit:漏洞利用代码),入侵过联邦调查局。还有各种应用:SMTP,POP3,FTP,IRC等协议的用户当时很多,这是当时攻击的目标。 (2)直到防火墙,ACL的出现,封锁了很多端口,暴露在互联网这些系统得到了保护。黑客直接把攻击矛头指向了越来越多人用的web。 注释:什么是ACL:ACL是访问控制列表,一种包过滤的访问控制技术。对接
读书笔记白帽子Web安全.zip
07-26
读书笔记白帽子Web安全
精选资源
读书笔记白帽子web安全思维导图.zip
07-26
读书笔记白帽子web安全思维导图
读书笔记:Learning from the book named 《白帽子Web安全》.zip
07-19
读书笔记:Learning from the book named 《白帽子Web安全
每周5小时“隐形流失”,如何精准锁定并回收?
最新发布
endpointcentral的博客
12-23 120
摘要:数字化办公中,员工每周平均浪费5小时访问非工作应用,导致中型企业年损失数百万元,并增加安全风险。传统管控方式已失效,需智能化解决方案。"智能黑名单"技术能精准管控应用,平衡效率与安全,需具备精细化策略、即时威胁响应和双重精准识别能力。
网络安全渗透测试技术报告:攻防实践与技术路线分析
ponygame的博客
12-22 585
本报告系统分析了Web安全攻防技术,包括SQL注入、XSS等常见漏洞的攻防原理及DVWA环境实践案例,对比了OWASP ZAP、Burp Suite等自动化扫描工具的优劣势。针对行业痛点提出SDL+自动化渗透测试解决方案,通过电商平台案例验证了防护效果。报告建议将安全嵌入开发全生命周期,结合AI技术提升漏洞识别精度,为Web安全防护提供实践指导。
网络安全中级阶段学习笔记(十):upload靶场实战(17关以及问题解决)
2501_91976946的博客
12-20 825
本文介绍了upload靶场第17关的解题过程,重点探讨了绕过二次渲染的方法。作者最初尝试使用png图片木马失败,后发现只有gif图片才能找到未被渲染修改的相同编码区域。通过对比原图与渲染后图片的Hex码,找到不受影响的区域并替换为木马代码。具体步骤包括:上传gif图片马、下载渲染后的图片、用EmEditor工具对比编码、在相同区域插入木马代码并保持格式一致,最后重新上传修改后的文件。该方法成功绕过了二次渲染的防护机制,实现了文件包含漏洞的利用。
推荐一些适合零基础学习网络安全的具体在线课程或书籍?
2401_85023633的博客
12-18 1051
本文提供了一份网络安全学习资源指南,推荐了多种适合不同阶段的在线课程、平台和书籍。课程方面包括新手友好的TryHackMe、实战导向的HackTheBox以及体系化的极客时间课程;书籍推荐涵盖Linux基础、网络原理和Web安全经典著作。学习路径建议从计算机基础开始,逐步过渡到专项学习和实战演练,强调理论与实践相结合。文中还推荐了DVWA靶场和CTF平台等实践资源,帮助学习者循序渐进地掌握网络安全技能。
解密网络安全基石:SSL、TLS与HTTPS的前世今生
weixin_50859396的博客
12-19 817
摘要: SSL、TLS与HTTPS构成了现代网络安全的基础。SSL是早期加密协议,因漏洞被淘汰;TLS作为其升级版,通过持续迭代(如TLS 1.3)成为当前标准。HTTPS则是"HTTP+TLS"的组合,通过加密传输、验证身份和防止篡改实现安全通信。其核心流程TLS握手包括协商加密算法、验证证书和生成会话密钥。如今HTTPS已成为网络标配,浏览器标记HTTP为不安全,搜索引擎优先收录HTTPS网站。从SSL到TLS再到HTTPS的演进,体现了互联网对抗安全威胁的进化历程。
白帽子Web安全读书笔记:初探Web安全风险
"《白帽子Web安全读书笔记,涵盖了Web安全的多个重要主题,包括客户端脚本安全、服务端应用安全等,涉及到的攻击类型有跨站脚本攻击(XSS)、跨站点请求伪造(CSRF)、点击劫持(ClickJacking)以及HTML5带来的新安全...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值