作为一名安全爱好者,在安全路上不断探索的过程中,每次拜读安全大牛的作品时,都有不同的收获,证明你看待安全的角度和高度上了新台阶,第一次接触过《白帽子讲web安全》,小白的我既懵懂又敬佩,时隔多年,再次拜读,虽说一些技术已过时,但思想是不老的,特此分享阅读笔记。
作者格言吴翰清领导的团队每天帮助阿里云抵御16亿次的黑客攻击。吴翰清现在年薪五百多万,甚至阿里的创始人马云都说阿里离不了吴翰清。
互联网本来是安全的,自从有了研究安全的人,就变得不安全了;
安全是一门朴素的学问,也是一种平衡的艺术;
一个优秀的安全方案,应该是:在正确的地方,做正确的事。
安全工程师的核心竞争力不在于他能拥有多少个0day,掌握多少种安全技术,而是在于他对安全理解的深度,以及由此引申的看待安全问题的角度和高度。
“破坏永远比建设容易” “最大的漏洞就是人!”
如果新技术不在一开始就考虑安全设计的话,防御技术必然会落后于攻击技术;
安全问题的本质是信任的问题。(将文件锁在抽屉中);安全三要素:机密性、完整性、可用性。
不可预测性,能有效地对抗篡改、伪造的攻击;(加密算法、随机数、哈希算法)
白帽子与黑帽子
白帽子一般为企业或安全公司服务,工作的出发点就是解决所有的安全问题,因此所看到的必然要求更加全面、宏观;
黑帽子主要目的是入侵系统,找到他们有价值的数据,因此黑帽子只需要以点突破,找到对他们最有用的一点,以此渗透,因此思考问题的出发点必然是有选择性的、微观的。
客户端脚本安全HttpOnly不等于绝对安全
使用HtppOnly有助于缓解XSS攻击,但还有窃取用户信息、模拟用户身份等严重后果,曾经Apache支持的一个header是TRACE,TRACE一般用于调试,它会将请求头作为HTTP的Response Body返回,利用这个特性可以把HtppOnly Cookie读出来。目前各产商已经修补这些漏洞,但未来也许会出现新的漏洞,现业界给关键业务添加HttpOnly Cookie已成为标准做法。
P3P( Platform for Privacy Preferences,隐私设定平台规范)
P3P头的介入改变a.com的隐私策略,从而使