读《白帽子讲Web安全》有感[亲测有效]

该博客转自hangshao.tech，之前忘记在CSDN发布了。

今天是2020.11.19，我开始了第二次拜读《白帽子讲Web安全》。

记得大一的时候就买过这本书，不过奈何当时水平有限，实在是难以阅读下去，于是放弃。我想，在大三的时候再来重拾这本书，应该会有所收获，如果还能作一个总结，那便更好，所以现在陆陆续续地写一些吧，写一点发一点，或许全部写完的时候，已经是2021年了。（在写了在写了…）

第一章是巨佬吴翰清讲述他的安全世界观。这一章讲了中国黑客史，介绍了白帽子和黑帽子，揭示了他认为的安全问题的本质——信任问题，因此，划分不同的信任等级，并且划分不同信任域的边界显得尤为重要，数据从高等级信任域流向低等级信任域是不需要安全检查的，从低等级流向高等级则需要安全检查。

随后，书中资产划分、威胁分析、风险分析以及设计安全方案这些方面的内容，感觉是站在企业的高度，我目前没有什么深切感受，所以快速阅览，等到工作以后，再深入了解也不迟。

读完第一章最后一部分的内容——“白帽子兵法”，我很有感触，因为我做过一些CTF的Web题目，真的是与作者介绍的“白帽子兵法”呼应上了，下面总结一下作者所写的“兵法”吧。

白帽子兵法：

1.白名单、黑名单

​ 黑名单容易遗漏一些情况，白名单更加安全，但也不是绝对的安全

2.最小权限原则

​ 不要过度授权，比如Linux中的root权限

3.纵深防御原则

​ 就入侵的防御来说，有Web应用安全、OS安全、数据库安全、网络环境安全等，在任何一个环节设置有效的防御措施，都有可能导致入侵过程功亏一篑。因此，在不同层面设计安全方案将共同组成整个纵深的防御体系。

​ 纵深防御的第二层含义就是在正确的地方做正确的事，用户想输入1 < 2，结果你把尖括号过滤了，那自然是不合适的

4.数据与代码分离原则

​ 这一原则适用于各种由“注入”引发的安全问题

5.不可预测性原则

​ 不可预测性能有效对抗基于篡改和伪造的攻击。如果一个博客里的文章编号是按照数字升序排列的，那么将会有很大的安全隐患，如果把文章id换成随机生成的，那么将会安全很多，至少别人写爬虫都没那么好写了。刚刚看了一下，我在CSDN里面发的文章，id也都是随机的，不是按顺序来的

OK，下次再更，这周好忙啊，26号科二必过，疫情让我这学期格外忙啊，事情都堆到一起了，过段时间再回来写

第二章内容是浏览器安全，就是简单讲了一下同源策略，浏览器沙箱，还有恶意网址拦截。

第三章呢，讲的是XSS，先是用代码演示了三种类型的XSS，分别是反射型XSS、存储型XSS、基于DOM的XSS。然后是讲了XSS的进阶攻击，比如攻击者构造XSS Payload远程加载一个脚本来发起“Cookie劫持”。

……

……

……

其实我发现，如果只是总结一下，其实是没什么干货的，如果想要写干货，写成那种小白都能看懂学会的博客，会耗费很多时间，你要截图，还要有代码，还要组织语言等等。

似乎我现在就只是记录一下看书的过程，确实没什么用，那行吧，就不更了，不想浪费时间，也确实没时间。