擎宇要努力努力再努力

分类

读书笔记(41)

/ 注册

全部文章（共41篇）

《一个广告人的自白（纪念版）》读书笔记第一章怎样经营广告公司

1、（今天要是奥美公司有谁对客户说我们不能按我们答应交货的那天完成应该做出的广告，我会大发其火的。在第一流的企业里，一定要信守诺言，不管要费多少神，加多少班。）-----从这段话中，可以看出诚信的重要性。2、(今天，我严格要求我的职员保持他们办公桌的整洁。乱七八糟的办公室会产生一种懒散的气氛，使机密...

2021-04-02

2 0

《白帽子讲Web安全（纪念版）》读书笔记第十八章安全运营

18.1 把安全运营起来（1）战略层面包括：Find and Fix，Defend and Defer，Secure and Source。安全运营贯穿在整个体系之中。安全运营需要让端口扫描、漏洞扫描、代码白盒扫描等发现问题的方式变成一种周期性的任务。（2）Find and Fix：通过漏洞扫描、渗...

2021-03-14

2 0

《白帽子讲Web安全（纪念版）》读书笔记第十七章安全开发流程（SDL）

17.1 SDL简介（1）SDL的全称是Security Development Lifecycle，即：安全开发生命周期。SDL过程大致分为16个阶段：培训；安全要求；质量门/bug栏；安全和隐私风险评估；设计要求；减小攻击面；威胁建模；使用指定的工具；弃用不安全的函数；静态分析；动态分析；模糊测...

2021-03-14

1 0

《白帽子讲Web安全（纪念版）》读书笔记第十六章互联网业务安全

16.1 产品需要什么样的安全（1）安全是产品的一个特性，具备了安全性，产品才是完整的；安全做好了，产品最终才能真正成熟。（2）一个优秀的安全方案，除了可以有效地解决问题之外，至少还必须具备两个条件：良好的用户体验、优秀的性能。 16.2 业务逻辑安全（1）业务逻辑问题是一种设计缺陷，在产品开发过程...

2021-03-14

1 0

《白帽子讲Web安全（纪念版）》读书笔记第十五章 Web Server配置安全

15.1 Apache安全（1）检查Apache的Module安装情况，根据“最小权限原则”，应该尽可能地减少不必要的Module，对于要使用的Module，则检查其对应版本是否存在已知的安全漏洞。（2）指定Apache进程以单独的用户身份运行，使用高权限身份运行Apache会带来两个可怕的结果：当...

2021-03-14

1 383

《白帽子讲Web安全（纪念版）》读书笔记第十四章 PHP安全

14.1 文件包含漏洞（1）当文件中包含include（）、require（）、include_once（）、require_once（）函数时，将该文件当作PHP代码执行，PHP内核并不会在意被包含的文件是什么类型。（2）能够打开并包含本地文件的漏洞，被称为本地文件包含漏洞。（3）PHP内核是由C...

2021-03-12

1 0

《白帽子讲Web安全（纪念版）》读书笔记第十三章应用层拒绝服务攻击

13.1 DDoS简介（1）DDoS又称为分布式拒绝服务，全称是Distributed Denial of Service。（2）利用合理的请求造成资源过载，导致服务不可用。 13.2 应用层DDoS（1）发生在应用层，TCP三次握手已经完成，连接已经建立。（2）Challenge Collapas...

2021-03-12

1 0

《白帽子讲Web安全（纪念版）》读书笔记第十二章 Web框架安全

12.1 MVC框架安全（1）MVC是Model-View-Controller的缩写，它将Web应用分成三层，View层负责用户视图、页面展示等工作；Controller层负责应用的逻辑实现，接收View层传入的用户请求，并转发给对应的Model做处理；Model层则负责实现模型，完成数据的处理。...

2021-03-12

1 541

《白帽子讲Web安全（纪念版）》读书笔记第十一章加密算法与随机数

11.1概述（1）常见的加密算法通常分为分组加密算法和流密码加密算法两种。（2）分组加密算法基于“分组“(block)进行操作，根据算法的不同，每个分组的长度可能不同。代表有DES、3-DES、Blowfish、IDEA、AES等。（3）流密码加密算法每次只处理一个字节，密钥独立于消息之外，两者通过...

2021-03-12

1 556

《白帽子讲Web安全（纪念版）》读书笔记第十章访问控制

10.1 What Can I Do？（1）权限控制就是某个主体（subject）对某个客体（object）需要实施某种操作（operation），而系统对这种操作的权限。（2）在一个安全系统中，确定主体的身份是“认证”解决的问题；而客体是主体发起的请求的对象。在主体对客体进行操作的过程中，系统控制...

2021-03-04

1 0