白帽子讲web安全——前言 第一章 Note

发布时间:2022-08-19 11:26

前言

  安全工程师的核心竞争力不在于他拥有多少个0day 掌握多少种安全技术 而是在于他对安全理解的深度 以及由此引申的看待安全问题的角度和高度

  我们不是要做一个能够解决问题的方案 而是要做一个能够“漂亮地”解决问题的方案

  黑帽子是指那些造成破坏的黑客 而白帽子是研究安全 但不造成破坏的黑客

  白帽子均已建设更安全的互联网为己任

第一章:我的安全世界观

  互联网本来是安全的 自从有了研究安全的人之后 互联网就变得不安全了

  黑客精神 Open Free Share由于相互间的不信任 逐渐消失

  黑客们使用漏洞利用代码 称为exploit

  可执行脚本webshell

  SQL注入的出现是Web安全史上的一个里程碑

  No Patch For Stupid 最大的漏洞就是人

  安全问题的本质是信任的问题

  安全是一个持续的过程

  现在的0day是一个统称 所有的破解都可以叫0day

  安全三要素简称CIA是安全的基本组成元素 分别是机密性 完整性 可用性
  机密性要求保护数据内容不能泄露 加密是实现机密性要求的常见手段
  完整性则要求保护数据内容是完整的 没有被篡改的 常见的保证一致性的技术手段是数字签名
  可用性要求保护资源是“随需而得”

  安全评估的四个阶段
    资产等级划分 威胁分析 风险分析 确认解决方案

  最核心的价值是拥有的用户数据 所以 互联网安全的核心问题 是数据安全的问题

  在安全领域里 我们把可能造成危害的来源成为威胁 而把可能会出现的损失成为风险

  STRIDE模型
白帽子讲web安全——前言 第一章 Note_第1张图片

  漏洞的定义:系统中可能被威胁利用以造成危害的地方

  风险由以下因素组成:
    Risk=Probability*Damage Potential

  DREAD模型
白帽子讲web安全——前言 第一章 Note_第2张图片

  一个优秀的安全方案应该具备以下特点 

  • 能够有效解决问题
  • 用户体验好
  • 高性能
  • 低耦合
  • 易于扩展和升级

ItVuer - 免责声明 - 关于我们 - 联系我们

本网站信息来源于互联网,如有侵权请联系:561261067@qq.com

桂ICP备16001015号