天涯论坛

 找回密码
 立即注册
搜索
查看: 54|回复: 2

读书笔记--《白帽子讲WEB安全》

[复制链接]

2996

主题

3万

回帖

9910万

积分

论坛元老

Rank: 8Rank: 8

积分
99109194
发表于 2024-7-12 14:56:20 | 显示全部楼层 |阅读模式

第1章:我的安全世界观

1.1web安全简史:启蒙(90年代崇尚开放、分享、自由),黄金(中美黑客大战),暗中时代(黑色产业链)的变革;技术的变革、

1.2白帽子和帽子:白帽子要客服某种攻击办法而不是抵御单次的攻击

1.3安全问题的本质:是信任的问题

1.4安全是个连续的过程,银弹

1.5安全三要素:机密性、完整性、可用性

1.6安全评定过程:资产等级划分-威胁分析-危害分析-确认处理方法

1.7白帽子兵法:

secure by default

纵深防御:更全面,更正确的看待问题

数据与代码分离原则

不可预测性原则

1.8小结:安全是一门朴素的学问是一种平衡的艺术

第2章:浏览器安全

2.1同源策略

2.2沙箱

2.3恶意网站

2.4高速发展的浏览器安全

2.5小结:浏览器的安全越来越要紧

第3章:跨站脚本攻击(xss)

3.1简介:反射型xss;存储型xss;dom based xss;

3.2xss进阶

xss攻击平台:Attack API BeEF XSS-Proxy

调试javascript: Firebug IE内置工具 Fiddler HttpWatch

xss构造技巧:1利用字符编码2绕过长度限制3运用<base>标签4window.name

3.3xss防御:正确的地区运用正确的编码方式

3.3.1httponly

3.3.2输入检测

3.3.3输出检测:1安全的编码函数2正确的编码

3.3.4正确防御xss

第4章:跨站点请求伪造(csrf)

4.1简介:a站利用用户的身份在b站执行命令操作b站的内容;本质是要紧操作的某些参数能够被猜测到

4.3CSRF防御:验证码;Referer Check;CSRF Token;

第5章:点击劫持

5.1简介:视觉诈骗用户在网页上覆盖一层看不见的网页进行操作

5.2flash点击劫持:

5.3照片覆盖攻击:

5.4拖拽劫持已数据窃取

5.5触屏劫持

5.6防御:

5.6.1frame busting(禁止跨域的iframe)

5.6.2x-Frame-Options:

第6章:html5安全

6.1HTML5新标签

6.1.1新标签的xss:例如<video><audio>

6.1.2 iframe的sandbox

6.1.3Link Types:noreferrer

6.1.4Canvas

6.2其他安全问题

6.2.1Cross-Origin Resource Sharing

6.2.2postMessage-跨窗口传递信息

6.2.3Web Storage:分为session storage和local storage

6.3小结:html5的应用会使战场往移动互联网上发展

第2章:浏览器安全

2.1同源策略

2.2沙箱

2.3恶意网站

2.4高速发展的浏览器安全

2.5小结:浏览器的安全越来越要紧

第3章:跨站脚本攻击(xss)

3.1简介:反射型xss;存储型xss;dom based xss;

3.2xss进阶

xss攻击平台:Attack API BeEF XSS-Proxy

调试javascript: Firebug IE内置工具 Fiddler HttpWatch

xss构造技巧:1利用字符编码2绕过长度限制3运用<base>标签4window.name

3.3xss防御:正确的地区运用正确的编码方式

3.3.1httponly

3.3.2输入检测

3.3.3输出检测:1安全的编码函数2正确的编码

3.3.4正确防御xss

第4章:跨站点请求伪造(csrf)

4.1简介:a站利用用户的身份在b站执行命令操作b站的内容;本质是要紧操作的某些参数能够被猜测到

4.3CSRF防御:验证码;Referer Check;CSRF Token;

第5章:点击劫持

5.1简介:视觉诈骗用户在网页上覆盖一层看不见的网页进行操作

5.2flash点击劫持:

5.3照片覆盖攻击:

5.4拖拽劫持已数据窃取

5.5触屏劫持

5.6防御:

5.6.1frame busting(禁止跨域的iframe)

5.6.2x-Fra





上一篇:跨站脚本攻击,附相关学习资源!手把手入门白帽子 (三)
下一篇:山西汾酒再现制品涨价,老白汾全系列价格上调
回复

使用道具 举报

0

主题

1万

回帖

1

积分

新手上路

Rank: 1

积分
1
发表于 2024-8-20 23:44:31 | 显示全部楼层
外贸网站建设方法 http://www.fok120.com/
回复

使用道具 举报

3047

主题

3万

回帖

9606万

积分

论坛元老

Rank: 8Rank: 8

积分
96065852
发表于 2024-10-13 22:31:16 | 显示全部楼层
回顾过去一年,是艰难的一年;展望未来,是辉煌的一年。
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

站点统计|Archiver|手机版|小黑屋|天涯论坛 ( 非经营性网站 )|网站地图

GMT+8, 2024-11-23 00:50 , Processed in 0.102488 second(s), 21 queries .

Powered by Discuz! X3.4

Copyright © 2001-2023, Tencent Cloud.