《web應用安全權威指南》是日本的德丸浩先生以一位web開發人員的視角,較為詳盡的介紹了web應用中常見的安全問題與解決對策。
自己花時間,仔細的閱讀並梳理了所掌握的web安全知識,並就自己的讀書心得寫成此文。
1: 視角
本書最大的特點就是以一位web開發人員的視角來說明漏洞的成因以及對策;
而以往的大多數同類安全書籍多是以一位攻擊者或安全問題研究員的姿態寫成。
不一樣的視角意味著不同的思路,這對安全問題的本質研究頗有幫助;
並且書中為了幫助讀者理解,羅列了不少相關實驗性**,這對深入理解漏洞成因大有裨益。
二是本書較為詳盡的介紹了web安全中cookie與session的安全應用場合與功能;由於cookie、會話管理安全部分是以一位開發人員的視角理解,所以在同類書中算是介紹的較為出色的。
2: 功能與隱患關係
本書大致以3個層次劃分了web漏洞的隱患**,即輸入層、處理層與輸出層;本書定義了安全隱患為」能用於作惡的bug」,結合以前所學,我在此基礎上引申為」漏洞為利用一切可用資源能讓其它人遭受損失的源能量「,這裡的源能量可以是乙個正常功能,可以是乙個bug,也可以是乙個被社工、受控制的人,這是我的第一大收穫。
所以,看似乙個正常的註冊使用者功能,如果不進行圖靈測試識別,就可以用機器無限註冊使用者,攻擊**;最終可能會導致目標**資源用盡,類似於dos的危害。
3: 受制
web應用安全自學指南
b站搜sec875 參考資料 參考資料 github安全類主題 參考資料 burpsuite工具開發公司出品的教學 紅盟抖音學習 931496577 我們想象乙個檔案,在網路上是直接整個的發,還是切分為幾組的發好一點呢?當然是將它們分割好,按照一定的順序和序列和佇列這些類似的詞語來傳送比較好啦。序列...
Web安全 NTFS安全許可權詳解
ntfs許可權是基於ntfs分割槽實現的 常用的檔案系統 ntfs windows fat windows ext linux ntfs許可權可以實現高度的本地安全性,通過對使用者或組賦予ntfs許可權可以有效的控制使用者對檔案和資料夾的訪問。分配了正確的訪問許可權後,使用者才能訪問其資源,可以防止...
kafka權威指南讀書心得
kafka特點 1解耦性 生產者和消費者分離,生產者完全不需要關注生產的訊息有多少消費者消費,什麼時候消費完,消費者也只需通過制定埠和topic來消費資料就ok了 2與其它訊息訂閱系統相比 例如rabbit mq 同一條訊息可以被不同分組的多個消費者消費,互不影響 3訊息序列化到磁碟,不怕丟失,可以...