《白帽子讲Web安全》知识点概括

最新推荐文章于 2025-06-15 11:15:10 发布
原创 最新推荐文章于 2025-06-15 11:15:10 发布 · 1.1k 阅读 · 23 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web安全 #网络 #安全

基础

安全三要素CIA

  机密性Confidentiality 保护数据不能泄露

  完整性Integrity 保护数据内容是完整的,没有被篡改的

  可用性Avaliability 保证资源‘随需可得’

实施安全评估

  评估过程 资产等级划分-》威胁分析-》风险分析-》确认解决方案

威胁分析:

  把可能照成危害的来源称为威胁,威胁分析就是把所有威胁找出来,比较全面的方法就是使用威胁建模

  STRIDE模型

  • 1.伪装身份(Spoofing identity),对应安全认证(鉴权)如中间人攻击,特洛伊木马
  • 2.篡改数据(Tampering with data),对应数据完整性如数据包注入攻击,篡改或损坏文件数据
  • 3.抵赖(Repudiation),对应不可抵赖性不被信任的用户在非法操作时无法被跟踪
  • 4.信息泄露(Information disclosure),对应机
最低0.47元/天 解锁文章

200万优质内容无限畅学
白帽子Web安全
11-16 1万+
第一篇:世界观安全第一章:我的安全世界观一个网站的数据库,在没有任何保护的情况下,数据库服务端口是允许任何人随意连接的;在有了防火墙的保护后,通过ACL可以控制只允许信任来源的访问。这些措施在很大程度上保证了系统软件处于信任边界之内,从而杜绝了绝大部分的攻击来源。1.1.3Web安全的兴起常见攻击:SQL注入,XSS(跨站脚本攻击)“破坏往往比建设容易”,但凡事都不是绝对的。一般来说,白帽子选择的方
网络安全--安全攻防概述
weixin_43774199的博客
08-18 1万+
目录 一、安全攻防简介 1.1安全攻防介绍 1.2网络安全概述 1.3网络攻击: 1.4安全防御 二、信息安全发展历程 2.1信息安全发展简介 2.2信息安全发展历程 三、信息安全职业发展方向 3.1信息安全职业前景 3.2信息安全职业发展方向 课程目标:这节课我们来介绍安全攻防以及信息安全的职业发展历程,去了解什么是安全攻防以及安全攻防的基本概念,攻击和防御的由来。 任务目标:通过对这节课的学习,能够对安全攻防有进一步的了解和认识,掌握安全攻防基本概念,了解信息安全的发展历程和职
白帽子Web安全——世界观安全
独活
11-14 6462
一、web安全简史 1、不想拿“root”的黑客不是好黑客 2、在黑客的世界里,有的黑客,精通计算机技术,能自己挖掘漏洞,并编写exp;而有的黑客只懂得编译别人的代码,自己没有动手能力,这种黑客被称为脚本小子。在现实世界里,真正造成破坏的往往是脚本小子。 3、中国黑客的发展分为三个阶段:启蒙阶段、黄金阶段、黑暗阶段。黑暗阶段从几年前开始一直延续到今天,也许还将继续下去。 4、黑客技术:早期以系统软件居多,攻击系统软件往往能直接获取root权限;web1.0时代:服务器端端脚本安全问题;we...
白帽子web安全(一)
weixin_43680269的博客
11-18 605
白帽子web安全笔记 第一篇 世界观安全 一、第一章 安全的世界观 1.林正隆 中国黑客文化先驱者 台湾著名黑客 2.黑帽子是指造成破坏破坏的黑客 白帽子是研究安全 不造成危险的黑客 3.root是在用户态的最高权限 root对于黑客像大米之于老鼠 (不想拿到root的黑客不是好黑客) 4.exploit 精通计算机技术 自己挖掘漏洞并编写exploit 脚本小子 是指对编程技术认识较浅,只懂编...
图像生成领域的AI原生应用:从原理到实践全解析
最新发布
AI天才研究院
06-15 1167
过去5年,图像生成AI经历了从“实验室玩具”到“生产力工具”的跨越式发展:从2014年GAN(生成对抗网络)的提出,到2021年扩散模型(Diffusion Model)的爆发,再到2022年Stable Diffusion、DALL·E 2等工具的普及,图像生成技术已深度融入设计、影视、游戏等行业。本文将聚焦“AI原生应用”——即专为AI能力设计的应用,而非传统应用的AI赋能版(例如MidJourney不是“PS的AI插件”,而是“基于AI生成能力重新定义的创作工具”),从原理到实践全面解析。
网络安全资料汇总!
weixin_46159811的博客
01-07 4251
1.网络安全资料汇总 web security: 《http权威指南》【图灵出品】   深入理解web http/https协议 ,了解超文本传输协议是如何进行传输和编译的。 《javascript权威指南》   淘宝前端团队翻译,深入了解前端js变量,注释,函数,表达式等,学习xss必备书籍。还提及了jquery类库。 《xs...
网站项目管理规范指南
热门推荐
xyrrwcom的专栏
03-25 7万+
1. 概述  关于本指南的目的,大纲描述。1.1 什么是网站项目管理规范指南  《网站项目管理规范指南》读做“网站-项目管理-规范-指南”,顾名思义就是针对网站项目管理,提供规范管理的建议和指导。之所以称作“指南”,是因为我们的规范不是标准,标准是由国家制定的。我们只是将我们认为最好的管理办法推荐给您,供您参考。我们希望您本指南能够带给您切实的工作上的帮助!1.2 编写目的 我们编写网站项目管理规
白帽子web安全(1)
墨丘利的博客
12-03 796
一个中年大叔开始学习web安全。 之前是做web开发的,对于html知识有一点基础,想了解一下web安全方面的知识,于是买了一本白帽子web安全的书籍,今天看了一点,也对着书本上说的东西敲了一下代码。读到通过XSS获取本地ip的时候,说将java代码嵌入到页面中,这个嵌入到页面中是如何操作的,我没有弄明白。之前在对着书上的例子,在浏览器的控制台上写http请求获取邮件列表的时候,是直接在控制台
白帽子web安全
03-02
全书分为4大篇共18章,读者可以通过浏览目录以进一步了解各篇章的内容。在有的章节末尾,还附上了笔者曾经写过的一些博客文章,可以作为延伸阅读以及本书正文的补充。
白帽子Web安全(pdf版)
12-28
(没有源码啊,不知道怎么删不掉标题上的这些)《白帽子Web安全》是2012年电子工业出版社出版的图书,作者是吴翰清。本书是根据作者若干年实际工作中积累下来的丰富经验而写成的,在解决方案上具有极强的可操作性,对安全工作者有很好的参考价值。
白帽子WEB安全
cococoala blog
12-04 3290
白帽子安全 文章目录 我的安全世界观 安全三要素-CIA 机密性 Confidentiality 数据不被泄漏 加密 完整性 Integrity 保护数据内容完整的、没有被篡改 数字签名 可用性 Availability DOS-Denial Of Service 攻击会破坏可用性 拓展:可审计性、不可抵赖性 如何实施安全评估 互联网安全的核心问题,是数据安全的...
白帽子web安全---web浏览器安全
syf19720428的博客
08-02 2850
同源策略:限制了来自不同源的“document”或脚本,对当前的“document”读取或设置某些属性。 影响同源的因素:host(域名或ip地址),子域名,端口,协议 在浏览器中<script><img><iframe><link>都可以进行跨域加载,带有“src“的属性标签加载资源时,实际上是由浏览器发起一次GET请求。 不同于XMLHttpRequest,通过src属性加载资源时,浏览器
白帽子Web安全(第 1 章 我的安全世界观)
sports-boy的博客
07-27 2144
第 1 章 我的安全世界观 互联网本来是安全的,自从有了研究安全的人之后,互联网就变得不安全了。 1.1 Web安全简史 研究计算机系统和网络的人,被称为“ Hacker ”,他们对计算机系统有着深入的理解,因此往往能够发现其中的问题。“ Hacker ”在中国按照音译,被称为“黑客”。在计算机安全领域,黑客是一群破坏规则、不喜欢拘束的人,因此总想着能够找到系统的漏洞,以获得一些规则之外的权力。 对于现代计算机系统来说,在用户态的最高权限是 root ( administrator ),也是黑客们最渴望能够
白帽子Web安全——服务端安全
u011423880的博客
07-25 1073
一.注入攻击 安全设计原则——“数据与代码分离”原则,它可以说是专门为了解决注入攻击而生的。 注入攻击的本质,是把用户输入的数据当做代码执行。这里有两个关键条件: 第一个是用户能够控制输入; 第二个是原本程序要执行的代码,拼接了用户输入的数据。 注入类型 SQL注入 XML注入 代码注入 CRLF注入:CRLF常被用做不同语义之间的分隔符。因此通过“注入CRLF字符”,就有可能改变原有的语义。 攻击手段 SQL注入 攻击存储过程 命令执行:利用“用户自定义函数”的技巧,即UDF(User-Defi
吴翰清新作《白帽子Web安全》纪念版揭秘
资源摘要信息: "白帽子Web安全(1).zip" 是吴翰清先生著作的《白帽子Web安全》纪念版的电子文件。该书是一本专注于Web安全领域的作品,由吴翰清撰写,主要针对的是网络安全爱好者以及从事Web安全工作的专业人士。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

我扶奶奶过哈登

您的鼓励是我最大的动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值