程序猿们来了解一下网络安全吧,《白帽子讲web安全》吴翰清百度云/百度网盘免费下载,包含威胁分析和风险分析

作者: admin 分类: 技术书籍 发布时间: 2019-06-29 00:32  阅读: 309 views

书籍推荐:程序猿们来了解一下网络安全吧,《白帽子讲web安全》吴翰清百度云/百度网盘免费下载,包含威胁分析和风险分析

推荐指数:***** 五颗星

读书感受

知道一些html、javascript、sql以及开发语言语法的话,对一些实例的理解更加深入透彻。
感受到黑客的强大,也是建立在对相关领域认知程度非常深的前提。一些基本功必然非常扎实、了解原理、并能够灵活的应用且挑战。
图片中可以加代码,同时可以使用压缩函数或者resize函数,在处理图片的同时破坏图片中可能包含的html代码。
安全开发生命周期,对于程序猿开发来说是相对比较重要的

书籍掠影

金句:
“黑客所代表的精神Open、Free、Share,真的一去不复返了。”
“在武侠小说中,一个真正的高手,对武功有着最透彻、最本质的理解,达到了返璞归真的境界。在安全领域,笔者认为搞明白了安全的本职,就好比学会了“独孤九剑”,天下武功万变不离其宗,遇到任何复杂的情况都可以轻松应对,设计任何的安全方案也都可以信手拈来了。”
“安全问题的本质是信任的问题。”
“互联网本来是安全的,自从有了研究安全的人,就变得不安全了。”

威胁分析模型:什么是威胁分析?威胁分析就是把所有的威胁都找出来,怎么找?一般都是采用头脑风暴法,当然,也有一些比较科学的方法,比如使用一个模型,帮助我们去想,在哪些方面有可能会存在威胁,这个过程能够避免遗漏,这就是威胁建模。本书中介绍一种威胁建模的方法,它最早是由微软提出的,叫做STRIDE模型,STRIDE是6个单词的首字母缩写,我们在分析威胁时,可以从以下6个方面去考虑

威胁 定义 对应的安全属性
Spoofing(伪装) 冒充他人身份 认证
Tampering(篡改) 修改数据或代码 完整性
Repudiation(抵赖) 否认做过的事情 不可抵赖性
InformationDisclosure(信息泄露) 机密信息泄露 机密性
Denial of Service(拒绝服务) 拒绝服务 可用性
Elevation of privilege(提升权限) 未经授权获得许可 授权<

在进行威胁分析时,要尽可能地不遗漏威胁,头脑风暴的过程可以确定攻击面(Attack Surface)

 

风险分析模型:风险分析由以下因素组成:
Risk = Probability * Damage Potential
影响风险高低的因素,除了造成损失的大小外,还需要考虑到发生的可能性。地政的危害很大,但是地震、火山活动一般是在大陆板块边缘频繁出现,比如日本、印尼就处于这些地理位置,因此地震频发;而在大陆板块中心,若是地质结构以整块的岩石为主,则不太容易发生地震,因此地震的风险就要小很多。我们在考虑安全问题时,要结合具体情况,权衡时间发生的可能性,才能正确地判断出风险。如何更科学地衡量风险呢?这里在介绍一个DREAD模型,它也是由微软提出的。DREAD也是几个单词的首字母缩写,它指导我们应该从哪些方面去判断一个威胁的风险程度。

等级 高 * 3 中 * 2 低 * 1
Damage Potential 获得完全验证权限;执行管理员操作:非法上传文件 泄露敏感信息 泄露其他信息
Reproducibility 攻击者可以随意再次攻击 攻击者可以重复攻击,但有时间限制 攻击者很难重复攻击过程
Exploitability 初学者在短期内能掌握攻击方法 熟练的攻击者才能完成这次攻击 漏洞利用条件非常苛刻
Affected users 所有用户,默认配置,关键用户 部分用户,非默认配置 极少数用户,匿名用户
Discoverability 漏洞很显眼,攻击条件很容易获得 在私有区域,部分人能看到,需要深入挖掘漏洞 发现该漏洞极其困难

在Dread模型里,每一个因素都可以分为高、中、低三个等级。在上表中,高、中、低三个等级分别以3、2、1的分数代表其权重值,因此,我们可以具体计算出来某一个威胁的风险值。分值越高风险越大。

 

推荐人群:

1.信息安全风险评估报告/符合性测评报告/自测风险评估报告 知道怎么填写的目的及细节说明以及相关介绍;
2.了解xss(Cross Site Script)跨站脚本攻击以及如何防范. 反射性XSS,存储型XSS,DOM Based XSS。常用的xss攻击平台,常用的Xss构造方式及原理。
3.了解csrf(jCross Site Request Forgery)跨站点请求伪造、点击劫持(广告劫持)
4.了解服务器端应用安全相关注入攻击、文件上传漏洞、认证与会话管理、访问控制、加密算法与随机数、web框架安全、应用层拒绝服务攻击、php安全,web server配置安全
5.应用城拒绝服务攻击、DDOS【分布式拒绝服务】简介、ReDos等
6.PHP安全、WebServer配置安全【Apache、nginx】
7.互联网公司安全运营、互联网业务安全、安全开发流程、安全运营等方面

推荐理由:

找到并防御漏洞,增加系统的安全性。对于一些技术实现手段、方式有更深入的了解。看看自己和大神的世界观有多大的差距。

下载地址:

《白帽子讲web安全》道哥-吴翰清作,百度云/百度网盘免费下载
链接: https://pan.baidu.com/s/1pMjtw_YrHvE7VkOpyN6aBw 提取码: et65


   原创文章,转载请标明本文链接: 程序猿们来了解一下网络安全吧,《白帽子讲web安全》吴翰清百度云/百度网盘免费下载,包含威胁分析和风险分析

如果觉得我的文章对您有用,请随意打赏。您的支持将鼓励我继续创作!

发表评论

电子邮件地址不会被公开。 必填项已用*标注

更多阅读