白帽子讲web安全——前言 第一章 Note

最新推荐文章于 2025-10-15 17:57:14 发布
原创 最新推荐文章于 2025-10-15 17:57:14 发布 · 358 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web #安全 #白帽子

安全工程师的核心竞争力在于深度理解和独特视角,而非技术数量。本书探讨安全世界观,强调建设更安全的互联网,解析安全三要素CIA,及数据安全、威胁与风险管理。

前言

  安全工程师的核心竞争力不在于他拥有多少个0day 掌握多少种安全技术 而是在于他对安全理解的深度 以及由此引申的看待安全问题的角度和高度

  我们不是要做一个能够解决问题的方案 而是要做一个能够“漂亮地”解决问题的方案

  黑帽子是指那些造成破坏的黑客 而白帽子是研究安全 但不造成破坏的黑客

  白帽子均已建设更安全的互联网为己任

第一章:我的安全世界观

  互联网本来是安全的 自从有了研究安全的人之后 互联网就变得不安全了

  黑客精神 Open Free Share由于相互间的不信任 逐渐消失

  黑客们使用漏洞利用代码 称为exploit

  可执行脚本webshell

  SQL注入的出现是Web安全史上的一个里程碑

  No Patch For Stupid 最大的漏洞就是人

  安全问题的本质是信任的问题

  安全是一个持续的过程

  现在的0day是一个统称 所有的破解都可以叫0day

  安全三要素简称CIA是安全的基本组成元素 分别是机密性 完整性 可用性
  机密性要求保护数据内容不能泄露 加密是实现机密性要求的常见手段
  完整性则要求保护数据内容是完整的 没有被篡改的 常见的保证一致性的技术手段是数字签名
  可用性要求保护资源是“随需而得”

  安全评估的四个阶段
    资产等级划分 威胁分析 风险分析 确认解决方案

  最核心的价值是拥有的用户数据 所以 互联网安全的核心问题 是数据安全的问题

  在安全领域里 我们把可能造成危害的来源成为威胁 而把可能会出现的损失成为风险

  STRIDE模型
这里写图片描述

  漏洞的定义:系统中可能被威胁利用以造成危害的地方

  风险由以下因素组成:
    Risk=Probability*Damage Potential

  DREAD模型
这里写图片描述

  一个优秀的安全方案应该具备以下特点 

  • 能够有效解决问题
  • 用户体验好
  • 高性能
  • 低耦合
  • 易于扩展和升级

在设计安全方案时 最基本也最重要的原则就是“Secure by Default”

  通配符 “ * ” 代表来自任意域的Flash都能访问本域的数据 因此造成了安全隐患 所以在选择使用白名单时 需要注意避免出现类似通配符“ * ”的问题

  最小权限原则

  Defense in Depth 纵深防御原则
  对于一个复杂的系统来说 纵深防御是构建安全体系的必要选择

  数据与代码分离原则

  不可预测性原则 从客服攻击方法的角度看问题

  安全是一门朴素的学问 也是一种平衡的艺术

前几天刚买的书 昨天晚上看了一下感觉很不错hiahia
希望能在国庆节之前看完 ଘ(੭ˊᵕˋ)੭* ੈ✩

tj12401101前端开发笔记
04-27
11. **Web安全**:防止XSS、CSRF等攻击,处理同源策略安全的API交互。 12. **最新技术趋势**:WebAssembly、Web Components、Service Worker、WebXR等。 通过对这份"tj12401101前端开发笔记"的深入学习,开发者...
新版前端高频面试题笔记+课件+源码(HTML+CSS+JavaScript)
04-24
本视频主打内容最全最新,包括大前端基础与高频面试题,打造一站式知识长龙 服务,适合有前端基础的同学学习。 课程需知: 课程面向的同学是:有前端基础的同学。 课程内容: ...5.跨域和同源策略6.面向对象
前端网络之同源策略
爱前端的程序媛的博客
03-14 878
同源策略及其解决方案
前端同源策略和跨域详解
mkbird的博客
09-24 1761
webcoket作为一种常用于实时聊天的协议,本身就不存在跨域问题,利用websocket的api创建一个socket实例,利用open方法向后台发送数据,利用message方法接收后台的数据。因为浏览器同源策略只针对于ajax,并不限制服务器之间的通信传输,我们在客户端和服务器中间使用一个代理服务器,代理服务器和客户端同源,代理服务器和服务器进行数据交互,这样就实现了跨域。等标签不受浏览器同源策略的影响,可以通过src属性,请求非同源的js脚本。上面的配置是最基础的,实际项目中我们还有更加细化的配置。
前端面试必问:一文搞懂同源策略是什么、作用及解决方案,轻松应对跨域问题
最新发布
u010544438的博客
10-15 906
Jsonp(JSON with Padding) 是 json 的一种”使用模式”,可以让网页从别的域名(网站)那获取资料,即跨域读取数据。要想了解jsonp的原理,首先一定要明白script标签的src属性做了什么事情</'.box'css'red'</src属性会给服务器发送请求,请求一个js文件浏览器会解析执行这个js文件里的代码jsonp的基本原理,主要就是利用了script标签的src没有跨域限制来完成的。因为js调用(实际上是所有拥有src。
web前端同源策略是什么?
āáǎà
05-08 1022
Cookie是用户在访问网站时,服务器将存储在计算机上的数据发送到用户的浏览器上的文件,存储在 Cookie 中的数据是加密的,只有当用户离开该网站并重新访问时才会解密并使用。同源政策的目的,是为了保证用户信息的安全,防止恶意的网站窃取数据。localStorage只要在相同的协议、相同的主机名、相同的端口(符合同源策略)下,就能读取/修改到同一份localStorage数据。3.第三种就是indexDB,它是浏览器提供的本地数据库,可以被网页脚本创建和操作,允许存贮大量数据,提供查找接口,能建立索引。
前端必备技能之同源策略
chuxuan3566的博客
10-27 257
同源策略详解 同源策略web应用的安全模型中是一个重要概念.在这个策略下,web浏览器允许第一个页面的脚本访问第二个页面里数据,但是也只有在这两个页面有相同的源时.源是由url,主机名,端口号组合而成的.这个策略可以阻止一个页面上的恶意脚本通过页面的DOM对象获得访问另一个页面上敏感信息的...
前端同源策略和跨域问题解决方法
Arui_0的博客
07-20 542
原文: https://juejin.im/post/5f1146a8e51d453dec11861f 跨域,指的是从一个域名去请求另外一个域名的资源。即跨域名请求!跨域时,浏览器不能执行其他域名网站的脚本,是由浏览器的同源策略造成的,是浏览器施加的安全限制。 跨域的严格一点来说就是只要协议,域名,端口有任何一个的不同,就被当作是跨域。 加载图片 CSS JS 可无视同源策略 <img src="跨域的图片地址" /> <link href="跨域的css地址" /> <scr
前端面试最新最全面经(带个人笔记
05-23
包含近几年高频前端开发工程师面试题,每个题目都有详细答案和个人笔记。1.JavaScript章节包括:基础知识、ES6、原型与原型链、作用域链闭包、异步编程等。 2.Vue章节包括:Vue基础、生命周期、组件通信、路由、Vuex...
web前端笔记
11-30
### Web前端笔记知识点详解 #### 一、JavaScript的引入方式及其特性 JavaScript 是 Web 开发中的重要组成部分,用于实现网页的交互性和动态效果。在 Web 前端开发中,有多种方式可以引入 JavaScript 代码。 1. **...
note:前端学习笔记——https
03-08
需要注意的是,由于同源策略的限制,JavaScript通常只能访问同源(协议、域名和端口相同)的HTTPS资源,但可以通过设置CORS(跨源资源共享)来放宽这一限制。 在实际项目中,配置HTTPS不仅涉及服务器端的设置,也...
前端知识库-前端安全系列二(同源策略
Candour_0的博客
02-16 275
前端知识库-前端安全系列二(同源策略
前端基础入门三大核心之HTML篇 —— 同源策略的深度解析与安全实践
一个做过前端开发的产品经理,经历过睿智产品的折磨导致脱发之后,励志要翻身"农奴"把歌唱,一边打入敌人内部一边持续提升自己,为我们广大开发同胞谋福祉,坚决抵制睿智产品折磨我们码农兄弟!
05-21 1098
同源策略(Same-origin policy)是一种约定,由Netscape公司于1995年引入,旨在防止不同源的网页之间相互干扰和恶意操作。简而言之,该策略规定了浏览器允许脚本访问的资源范围,仅限于与当前网页同源的资源。所谓“同源”,指的是协议、域名和端口号完全相同。同源策略作为Web安全的基石,其重要性不言而喻。然而,在日益复杂的Web应用环境中,灵活而安全地处理跨域通信成为了前端开发者必备的技能。
同源策略
longlongfishday的博客
03-25 255
同源策略限制了不同源的站点读取当前站点的Cookie、IndexDB、LocalStorage等数据。由于同源策略,我们依然⽆法通过第⼆个页面 来访问第⼀个页⾯中的Cookie、IndexDB或者LocalStorage等内容。两个不同的源之间若想要相互访问资源或者操作DOM,那么会有⼀套基础的安全策略的制约,我们把这称为。③同源策略限制了通过 XMLHttpRequest 等方式将站点的数据发送给不同源的站点。①同源策略限制了来⾃不同源的 JavaScript 脚本对当前 DOM 对象读和写的操作。
同源策略是什么?
qq_43539439的博客
02-23 618
同源策略 同源策略(Same origin policy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。 它是由Netscape提出的一个著名的安全策略。所有支持JavaScript的浏览器都会使用这个策略。 满足同源的三个条件: 所谓同源是指,域名、协议、端口相同。...
前端扫雷之同源策略
yushenxin的博客
03-24 425
参考链接:浏览器同源政策及其规避方法 浏览器的同源策略什么是同源策略W3上是这么解释的: documents retrieved from distinct origins are isolated from each other.直译就是不同源文档的访问是隔离的。 MDN上是这么解释的:同源策略限制从一个源加载的文档或脚本如何与来自另一个源的资源进行交互。对于本地请求 禁止访问(the use
【网络基础】初级前端需要掌握知识,什么是同源策略与跨域,如何解决跨域问题
庞囧的博客
04-24 570
当一个用户在访问A网站并且登陆账户的时候,临时打开一个B网站,假如这个B网站有恶意JS代码,那么B网站就可以在后台模拟用户在A网站进行恶意阿贾克斯请求,A网站的服务器是分辨不出来的。想具体了解看阮一峰老师的。跨域请求其实是非常常见的,比如一些网站下面有很多子域,同是一家人还不能访问就很离谱,于是出现了很多解决跨域问题的方案,下面列举几个。js文件,css文件,图片访问是不会有同源策略限制的。要一致,实际上这三个分辨的场景类型蛮多的,我觉得可以先了解一下最常规的类型就可以了,真正用到的时候再去查找积累即可。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值