读>>>>白帽子讲Web安全<<<<摘要→我推荐的一本书→1

 
《白帽子讲Web安全》吴翰清著
刚开始看这本书就被这本书吸引,感觉挺不错,给大家推荐下,最近读这本书,感觉不错的精华就记录下,
俗话说>>>好脑袋不如一个烂笔头<<<
还有,大家也看出来,最近我也要开始写博客了,
万事开头难嘛,先拿来那些nx点的人物的书籍来记录下,
本人文笔确实不怎么滴,思路略混乱,中学时代我的作文就是我们班的一盏亮灯,指引我们全班文笔不要向我的文笔思路靠近
←```warn```→ 读万卷书,行万里路,以后不做宅男。加油···
信息不等于知识,现在看点书籍,记录下,感觉挺不错的<<<
吴→安全工程师的核心竞争力不在于他能拥有多少个0day,
掌握多少种安全技术,而是在于他对安全理解的深度,
以及由此引申的看待安全问题的角度和高度.
吴→我们不是要做一个能够解决问题的方案,而是要做一个能够"漂亮地"解决问题的方案。
月有阴晴圆缺,
易有太极,是生两仪。两仪生四象,四象生八卦。
万物负阴而抱阳,冲气以为和。
有黑帽子+白帽子
突然感觉白帽子和黑帽子就像阴阳鱼的黑和白似的→↓
黑帽子以搞破坏为主,白帽子则以建设更安全的互联网为己任.
忽然明白为什么那么多人不想读书了,
因为越读书,越发现你还没读但是还需要读的书你才读了那么多,,,
→加油,不积跬步无以至千里,
吴→不想拿到"root"的黑客不是好黑客,
引申下漏洞→零日漏洞
在计算机领域中,零日漏洞或零时差漏洞(英语:Zero-day exploit)
通常是指还没有补丁的安全漏洞,
而零日攻击或零时差攻击(英语:Zero-day attack)则是指利用这种漏洞进行的攻击。
提供该漏洞细节或者利用程序的人通常是该漏洞的发现者。
零日漏洞的利用程序对网络安全具有巨大威胁,
因此零日漏洞不但是黑客的最爱,
掌握多少零日漏洞也成为评价黑客技术水平的一个重要参数。
"脚本小子"→
我觉得称呼为→"脚本童子"更合适(⊙o⊙)…
个人观点,不喜请喷。
反正喷了我也不会改(⊙o⊙)…>>>脚本童子,我也想做...至少可以装逼啊,哈哈,,,)
黑客精神
→Open,
→Free,
→Share,
期待骑士回来,,,
其实看完书,合上书本,
回忆一下,貌似刚才也没看多少,甚至回忆不起来具体看了点什么,
汗哒哒···
睡一觉,让梦来吸收下看的信息吧,
万一以后用到的时候,突然发现转换为知识了呢,,,
其实我在记录这个>>>>>随笔>>>>>的时候
想另开一篇关于攻击篇[XSS攻击,SQL注入,,,]的记录,,,
只是"记录"(⊙o⊙)…
>>>>>>>>>>>>>>>>>>>>>>未完待续,,, ←```晚安```→
O(∩_∩)O哈哈~
2015年5月16日11:09:16←↓→
连上VPN,听着歌,宅着继续看会这本书,
>>>其实我觉得宅,从某一个方面,我觉得是一种堕落的表现,
为什么呢,因为懒,因为宅着舒服,因为喜欢宅所以宅,,,
安全三要素→Confidentiality_机密性,Integrity_完整性,Avaliability_可用性.

机密性→常见的手段是加密
完整性→数字签名
可用性→要求保护资源"随需可得"

扩展的其他小要素→可审计性,不可抵赖性<<<
安全评估

阶段→资产等级划分>>>威胁分析>>>风险分析>>>确认解决方案

互联网安全的核心问题,是数据安全的问题

安全领域→威胁:可能造成[危害]的[来源]
安全领域→风险:可能会出现的[损失]

微软提出的一种威胁建模→模型来指出哪些方面可能存在威胁
威胁 >>>>>>>>>>>>>>>>>>>>>>>>>>>>>定义>>>>>>>>>>>>>>对应的安全属性
S→Spoofing_伪装 >>>>>>>>>>>>>>>>>>冒充他人身份>>>>>>>认证
T→Tampering_篡改>>>>>>>>>>>>>>>>>>修改数据或代码>>>>>完整性
R→Repudiation_抵赖>>>>>>>>>>>>>>>>否认做过的事>>>>>>不可抵赖性
I→InformationDisclosure_信息泄露>>>机密信息泄露>>>>>>机密性
D→Denial of Service_拒绝服务>>>>>>>拒绝服务>>>>>>>>>>可用性
E→Elevation of privilege_提升权限>>未经授权获得许可>>>授权
没有不安全的业务,只有不安全的实现方式.
最终一个优秀的安全解决方案具备以后特点

→能够有效解决问题
→用户体验好
→高性能
→低耦合
→易于扩展和升级
上一篇:《白帽子讲Web安全》- 学习笔记


下一篇:白帽子讲web安全——认证与会话管理