《白帽子讲Web安全》| 学习笔记之世界安全观

这段时间跟着合天网安实验室对相关网络安全知识的学习,让我对网络安全有了一些基本的概念。接下来的时间想重点放在针对CTF的入门练习及提高上。第一步先从CTF-WEB开始时。近日跟着教程做了几个实验后,觉得自己掌握的知识太分散,没有经过体系的学习和吸收,在面对问题的时候不知道该怎样解决。所以选择通过看书再次学习和总结。

第一篇 世界安全观

1、对于现代计算机系统来说,在用户态的最高权限是root(administrator),也是黑客们最渴望能够获取的系统最高权限。不想拿到"root"的黑客,不是好黑客。漏洞利用代码能够帮助黑客们达成这一目标。黑客们使用漏洞利用代码,被称为”exploit"。

2、ACL 访问控制列表:是路由器和交换机接口的指令列表,用来控制端口进出的数据包。ACL适用于所有的路由协议,如IP、IPX、AppleTalk等。

3、安全问题的本质是信任问题。

4、安全是一个持续的过程。

5、安全三要素是安全的基本组成元素,分别是机密性(Confidentiality)、完整性(Integrity)、可用性(Availiability)。CIA

机密性要求保护数据内容不能泄露,加密是实现机密性要求的常见手段。

完整性则要求保护数据内容是完整、没有被篡改的。常见的保证一致性的技术手段是数字签名。

可用性要求保护资源是“随需而得”。其中拒绝服务攻击性,简称DoS(Denial of Service),破坏的是安全的可用性。

除此之外还有可审计性、不可抵赖性等。

6、一个安全评估过程可简单分为四个阶段:资产等级划分、威胁分析、风险分析、确认解决方案。

资产等级划分:明确目标是什么,要保护什么。互联网安全的核心问题,是数据安全的问题。

价值越高需要的安全等级越高。资产等级的划分依据——资源的价值。

威胁分析:尽可能不遗漏的找出可能造成危害的威胁。

风险分析:风险由Risk=Probability*Damage Potential组成。可根据危害的优先级排序。

确认解决方案:通过简单而有效的方案,同时安全方案能够有效抵抗威胁,及不能过多干涉正常的业务流程和性能上也不能拖后腿,解决遇到的安全问题。 

7、白帽子兵法

Secure By Default原则:如果更多地使用白名单,那么系统就会变得更安全。同时在选择使用白名单时,需要注意避免出现类似通配符“*”的问题。。

最小权限原则:最小权限原则要求系统只授予主体必要的权限,而不要过度授权。

纵深防御原则:首先在各个不同层面、不同方面实施安全方案,避免出现疏漏,不同安全方案之间需要互相配合,构成一个整体。其次,要在正确的地方做正确的事,即在解决根本问题的地方实施针对性的安全方案。列如“木桶理论”,要想达到不漏水的木桶,就要避免出现短板。

数据与代码分离原则:这一原则广泛适用于 各种由于“注入”而引发安全问题的场景。如果用户数据与代码不分离,很有可能就会出现恶意输入的用户数据注入到代码中,从而引发安全问题。

不可预测性原则:从克服攻击方法的角度看问题。id、token随机化,也就是让那个程序运行数据每次都是随机的,让攻击数据无法预测到。

8、在梳理了设计安全的集中思路和原则后,对之前学习的几种攻击方法有了更深的理解,我想再次学习他们的时候,我将可以从根本上深入地思考他们的出现原理及解决方案。

 

 

 

 

你可能感兴趣的:(《白帽子讲Web安全》| 学习笔记之世界安全观)