web安全兵法

最新推荐文章于 2025-08-03 16:57:03 发布
最新推荐文章于 2025-08-03 16:57:03 发布
阅读量823 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: WEB安全 文章标签: 安全 web 原则 兵法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/sum_rain/article/details/36893387

内容总结于《白帽子讲web安全》。(这是一本写的相当好的书,有时间建议对web安全感兴趣的读者可以阅读一下)


首先,关于安全,是没有绝对的安全的,我们能做的就是在成本允许范围内,尽最大努力做到最高程度的安全。


那什么是安全?那就得说到安全的三个最基本要素CIA。

C:confidentiality,机密性。即保护数据内容不能泄露,加密是实现机密性要求的常见手段。

I  : Integrity,完整性。即保证数据内容是完整、没有被篡改的。常见的保证一致性的手段是数字签名。

A:Availability,可用性。即保证数据资源是随需可得的。常见的DoS攻击就是破坏可用性的。


理解了这三个要素,那大体对安全就有了一定的认识


接下来就进入正题,来谈谈web安全兵法。


1。 Secure By Default原则,默认的、基本原则。一方面指白名单,黑名单的思想;另一方面指最小权限原则

白名单法:就是罗列出被允许的选项列表。

黑名单法:就是罗列出不被允许的选项列表。

最小权限原则:要求系统只授予主体必要的权限,而不过渡授权。比如linux下一般先用普通用户登录,要执行root权限时再sudo一下。


2。Defense in Depth(纵深防御)原则。

也就是说整个安全系统是多个层次组成的整体,纵深防御要求每个层次都要做到安全可靠,即使某一外层出现漏洞,也能靠其他内层防御住,而不是一击即全层溃败。


3。数据与代码分离原则。

数据用来传递,计算或显示;代码用来执行。该原则要求数据处不允许出现代码,即要对数据进行严格过滤,出现不允许的代码便要过滤掉,这一点在防御xss等注入攻击方面有着奇效。如果设计者真要求数据处出现执行代码,则须改动原代码部分,而依旧使数据处只能输入数据。详细介绍可参见http://book.2cto.com/201208/1989.html


4。不可预测原则。要求在一些敏感数据上采用加密算法、随机数算法、哈希算法等使得这些数据变得不可预测,不容易被黑客或相关软件猜测出来。

 


《白帽子讲web安全》我的安全世界观
weixin_49472648的博客
03-21 3736
文章目录我的安全世界观前言安全工程师的核心竞争力白帽子的使命现状里程碑安全的本质安全三要素如何防范安全问题?安全评估步骤资产等级划分:威胁分析(确定攻击面):风险分析:设计安全方案白帽子兵法一、Secure By Default 原则二、Defense in Depth(纵深防御) 原则三、数据与代码分离原则四、不可预测性原则总结 我的安全世界观 前言 互联网本来是安全的,自从有了研究安全的人以后,就变得不安全了。 漏洞只是对破坏性功能的一个统称而已。 我们定义一个功能是否是漏洞,只看后果,而不应该看过
《白帽子讲Web安全》1-2章
GAO+的博客
08-22 2036
记一下读《白帽子讲Web安全》这本书时自己有所触动的点以及所思考的问题,顺便扫一下盲。
白帽子讲web安全 ——读书笔记:术语和理论
Enjoy my life!
07-31 1720
最近心血来潮,对安全这些略感兴趣,就买了本 白帽子讲web安全 看看 ,这里做个读书笔记吧!方便啥时候忘了再看一下。 exploit——漏洞利用代码 Script kids ——脚本小子,利用exploit到处破坏的家伙,对漏洞及编程原理没有多深的理解。 0day——即时发布 安全三要素:安全的基本组成要素(CIA)——机密性(confidentiality)、完整性(Integrity)
《白帽子讲Web安全》笔记 - 白帽子兵法
weixin_30296405的博客
07-17 195
Secure By Default 原则 “Secure by Default”原则,也可以归纳为白名单、黑名单的思想。 黑名单、白名单 尽可能使用白名单,不使用黑名单。例如:要做限制过滤的时候,只提供一份可信任的白名单列表,比提供一份不可信任的黑名单。 场景:端口、服务器上装的软件、应用处理用户提交的富文本时,考虑到 XSS 的问题,需要做安全检查。 最小权限原则 Secure By ...
常见Web安全问题及防御策略
2401_85123543的博客
06-11 352
例如,当用户登录网络银行去查看其存款余额,在他没有退出时,就点击了一个 QQ 好友发来的链接,那么该用户银行帐户中的资金就有可能被转移到攻击者指定的帐户中。在ASLR的控制下,一个程序每次启动时,其进程的栈基址都不相同,具有一定的随机性,对于攻击者来说,这就是“不可预测性”。实际上,缓冲区溢出,也可以认为是程序违背了这一原则的后果——程序在栈或者堆中,将用户数据当做代码执行,混淆了代码与数据的边界,从而导致安全问题的发生。你可以这样简单的理解:攻击者可以盗用你的登陆信息,以你的身份模拟发送各种请求。
白帽子讲web安全读后感
wswr的博客
03-11 1140
第一章 我的安全世界观 安全问题本质就是信任问题【你总要制定一个基准以此判断是否安全,这个基准怎么理解呢,比方上传文件,做的限制和过滤就是一个基准,通过这个基准你去信任自己是否是安全的】 安全是一个持续的过程【攻防都在进步,道高一尺魔高一丈,不断出现的漏洞和对应补丁就是很好的例子去理解为什么持续的安全】 白帽子兵法: Secure by Default(默认的安全)一方面是白名单思想【黑名单存在被各种可能的绕过】,一方面是最小权限原则(最差的情况即使被攻克了,拿到的权限也不高) 纵深防御原则:一方
白帽子讲web安全(精写含思维导图)
热门推荐
加油~
06-06 1万+
安全从业必读
白帽子讲Web安全——世界观安全
独活
11-14 6454
一、web安全简史 1、不想拿“root”的黑客不是好黑客 2、在黑客的世界里,有的黑客,精通计算机技术,能自己挖掘漏洞,并编写exp;而有的黑客只懂得编译别人的代码,自己没有动手能力,这种黑客被称为脚本小子。在现实世界里,真正造成破坏的往往是脚本小子。 3、中国黑客的发展分为三个阶段:启蒙阶段、黄金阶段、黑暗阶段。黑暗阶段从几年前开始一直延续到今天,也许还将继续下去。 4、黑客技术:早期以系统软件居多,攻击系统软件往往能直接获取root权限;web1.0时代:服务器端端脚本安全问题;we...
《白帽子讲web安全》第1章 我的安全世界观
询昵的博客
05-27 658
一、基础知识 “Hacker“ :黑客 “exploit” :黑客们使用的漏洞利用代码 “Script kids”:脚本小子 ,只懂得编译别人的代码,自己没有动手能力 ACL:访问控制列表 XSS:跨站脚本攻击 安全问题的本质是信任问题,安全是一个持续的过程 二、安全三要素 安全三要素:机密性(Confidentiality)、完整性(Integrity)、可用性(Availability)。 机密性要求保护数据内容不能泄露,加密是实现机密性要求的常见手段。 完整性则要求保护数据内容是完
白帽子讲Web安全
03-19
《白帽子讲web安全》  第一篇 世界观安全  第1章 我的安全世界观 2  1.1 web安全简史 2  1.1.1 中国黑客简史 2  1.1.2 黑客技术的发展历程 3  1.1.3 web安全的兴起 5  1.2 黑帽子,白帽子 6  1.3 返璞归真,...
《白帽子讲web安全》学习笔记——web安全概述
a2562614613的博客
08-28 939
一、安全的三要素 1、机密性 机密性要求保护数据内容不被泄露,加密是实现机密性要求的常见方法,比如常见的对称加密算法和非堆成加密算法。 2、完整性 完整性要求保护数据内容是完整的,没有被篡改,常见的保证一致性的技术手段是数据签名。 3、可用性 可用性要求保护资源是“随需而得”。安全领域中,拒绝服务攻击破坏得就职安全的可用应。 安全领域中,除以上要素外,仍然存在一些其他要素,比如不可抵赖性、可审计性,但最重要的要素便是以上三个。在...
白帽子讲Web安全(纪念版)笔记
sd517125的博客
06-07 1906
白帽子讲Web安全(纪念版) 只是笔记,详情请查阅吴翰清老师的《白帽子讲Web安全》 前言 安全工程师的核心竞争力不在于他能拥有多少个0day,掌握多少中安全技术,而是在于他对安全理解的深度,以及由此引申的看待安全问题的角度和高度。 在此书中最可贵的不是那一个个工业化的解决方案,而是在解决这些问题时,背后的思考过程。**我们不是要做一个能解决问题的方案,而是要做一个能够“漂亮的”解决问题的方案。**这是每一名优秀的安全工程师应有的追求。 第一篇 世界观安全 安全问题的本质是信任问题 因为信任关系被破坏,
《白帽子讲Web安全》- 吴翰清:dbc文件解析与实战方法
在《白帽子兵法》中,作者探讨了Web安全领域的实践策略和技巧,特别是在设计安全方案的过程中。书籍的描述提到,内容涵盖如何实施安全评估,以及如何从评估结果中生成有效的安全方案。作者吴翰清以其在实际工作中的...
WEB安全之Token浅谈
sum_rain的专栏
07-05 7963
Token,就是令牌,最大的特点就是随机性,不可预测。一般黑客或软件
公钥,私钥,数字签名,数字证书个人总结
sum_rain的专栏
07-04 6574
上一篇  http://blog.youkuaiyun.com/sum_rain/article/details/36896239是转载的。现在再来总结一下吧。
《白帽子讲web安全》笔记之认证与授权那些事
sum_rain的专栏
07-05 1501
首先从英文单词上看,认证为Authentication,而授权是
WEB安全基础之同源策略
sum_rain的专栏
07-05 1370
为什么要提出同源策略? 先看个例子,www.a.com/a_
关于Web前端安全之XSS攻击防御增强方法
最新发布
xyphf的博客
08-03 947
仅依赖前端验证是无法完全防止 XSS的,还需要增强后端验证,使用DOMPurify净化 HTML 时,还需要平衡安全性与业务需求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值