白帽子讲web安全读后感

书分四部分:第一部分世界安全观:第一章;第二部分客户端脚本安全:2~6章;第三部分服务端应用安全:7-15章;第四部分互联网公司安全运营:16-18章

这本书,我看了很多遍,第一没接触过web安全时,其实对待很多名词和所谓的原理不是很懂,看的云里雾里,大概就记住些名词,然后就去学习了一些web安全方面的教学视频(B站大学),做了一些相关的实验啊练习啊,在学习交流群里面学习,然后就会对概念有更深的概念,然后再来读这本书,在实验中加深概念,通过概念和实验再去理解原理

第一章 我的安全世界观

安全问题本质就是信任问题【你总要制定一个基准以此判断是否安全,这个基准怎么理解呢,比方上传文件,做的限制和过滤就是一个基准,通过这个基准你去信任自己是否是安全的】

安全是一个持续的过程【攻防都在进步,道高一尺魔高一丈,不断出现的漏洞和对应补丁就是很好的例子去理解为什么持续的安全】

白帽子兵法:

Secure by Default(默认的安全)一方面是白名单思想【黑名单存在被各种可能的绕过】,一方面是最小权限原则(最差的情况即使被攻克了,拿到的权限也不高)

纵深防御原则:一方面是木桶原则【多层次,多方面的去处理安全方面的问题,也就是说各个安全方面都要考虑,比如从代码层面,中间件,数据库,操作系统】,另一方面是在对的地方安全的事【要根据需求进行正确的安全策略,比方在用户富文本提交时过滤不能就单单考虑过滤

你可能感兴趣的:(学习记录,web安全,安全)