柚子树

读书笔记

java相关(4) 操作系统(5) 计算机网络(1)

/ 注册

全部文章 / 读书笔记（共34篇）

《白帽子讲Web安全（纪念版）》第十八章安全运营

如何进行安全运营战略层面包括：Find and Fix，Defend and Defer，Secure and Source。安全运营贯穿在整个体系之中。安全运营需要让端口扫描、漏洞扫描、代码白盒扫描等发现问题的方式变成一种周期性的任务。 Find and Fix 一个安全评估的过程，就是一个“...

2021-02-05

0 0

《白帽子讲Web安全（纪念版）》第十七章安全开发流程（SDL）

SDL简介 SDL的全称是Security Development Lifecycle，即：安全开发生命周期。SDL过程大致分为16个阶段。培训开发团队的所有成员都必须接受适当的安全培训，了解相关的安全知识。安全要求确定安全的要求和需要做的事情。质量门、bug栏确定安全和隐私质量的...

2021-01-29

0 0

《白帽子讲Web安全（纪念版）》第十六章互联网业务安全

业务安全问题，受害者往往是互联网公司的用户，攻击的是互联网公司的业务，难以根除，是公司业务发展的阻力。产品安全安全是产品的一个特性，具备了安全性，产品才是完整的；安全做好了，产品最终才能真正成熟。一个优秀的安全方案，除了可以有效地解决问题之外，至少还必须具备两个条件：良好的用户体验；优...

2021-01-22

1 566

《白帽子讲Web安全（纪念版）》第十五章 Web Server配置安全

Web服务器安全，考虑的是应用布署时的运行环境安全。这个运行环境包括Web Server、脚本语言解释器、中间件等软件，这些软件所提供的一些配置参数，也可以起到安全保护的作用。 Web Server的安全我们关注两点：一是Web Server本身是否安全；二是Web Server是否提供了可使用的安...

2021-01-15

0 0

《白帽子讲Web安全（纪念版）》第十三章应用层拒绝服务攻击

DDoS简介 DDoS又称为分布式拒绝服务，全称是Distributed Denial of Service。利用合理的请求造成资源过载，导致服务不可用。应用层DDoS 发生在应用层，TCP三次握手已经完成，连接已经建立。 CC攻击 Challenge Collapasar（简称CC），意指在黑洞...

2021-01-08

0 0

《白帽子讲Web安全（纪念版）》第十二章 Web框架安全

MVC框架安全 MVC是Model-View-Controller的缩写，它将Web应用分成三层，View层负责用户视图、页面展示等工作；Controller层负责应用的逻辑实现，接收View层传入的用户请求，并转发给对应的Model做处理；Model层则负责实现模型，完成数据的处理。一些主要的W...

2020-12-25

0 0

《白帽子讲Web安全（纪念版）》第十一章加密算法与随机数

加密算法常见的加密算法通常分为分组加密算法和流密码加密算法两种。分组加密算法基于“分组“(block)进行操作，根据算法的不同，每个分组的长度可能不同。代表有DES、3-DES、Blowfish、IDEA、AES等。流密码加密算法每次只处理一个字节，密钥独立于消息之外，两者通过异或实现加密与解...

2020-12-18

0 0

《白帽子讲Web安全（纪念版）》第十章访问控制

授权某个主体（subject）对某个客体（object）需要实施某种操作（operation），而系统对这种操作的权限就是权限控制。在一个安全系统中，确定主体的身份是“认证”解决的问题：而客体是一种资源，是主体发起的请求的对象。在主体对客体进行操作的过程中，系统控制主体不能“无限制”地对客体进...

2020-12-10

0 0

《白帽子讲Web安全（纪念版）》第九章认证与会话管理

认证认证的目的是为了认出用户是谁，授权的目的是为了决定用户能够做什么。认证实际上就是一个验证凭证的过程。密码密码必须以不可逆的加密算法，或者是单向散列函数算法，加密后存储在数据库中。多因素认证如果只有一个凭证被用于认证，则称为“单因素认证”；如果有两个或多个凭证被用于认证，则称为“双因素...

2020-12-05

0 552

《白帽子讲Web安全（纪念版）》第八章文件上传漏洞

漏洞概述文件上传漏洞是指用户上传了一个可执行的脚本文件，并通过此脚本文件获得了执行服务器端命令的能力。”文件上传“本身没有问题，但有问题的是，文件上传后，服务器怎么处理，解释文件。文件上传后导致的问题一般有：上传文件是Web脚本语言，服务器的Web容器解释并执行了用户上传的脚本，导致代码执行...

2020-11-27

0 0