-
《白帽子讲Web安全(纪念版)》读书笔记 第六章 HTML 5安全
6.1 HTML5新标签(1)XSS Filter如果建立一个黑名单的话,则可能就不会覆盖到HTML5新增的标签和功能,从而避免发生XSS。(2)在HTML5中,专门为iframe定义了一个新的属性,叫sandbox。使用sandbox这一个属性后,ifram... -
《白帽子讲Web安全(纪念版)》读书笔记 第一章 我的世界安全观
这周开始看了白帽子讲Web安全(纪念版)》,以下是我的读书笔记 1.1 Web安全简史 (1)中国黑客的发展阶段:启蒙时代、黄金时代、黑暗时代。(2)2003年的冲击波蠕虫是一个里程碑事件,主要针对于Windows操作系统RPC服务,是运行在445端口的蠕虫。... -
《白帽子讲Web安全(纪念版)》读书笔记 第二章 浏览器安全
2.1 同源策略(1)同源策略是一种约定,是浏览器最核心也是最基本的安全功能,如果缺少了同源策略,浏览器的正常功能可能会受到影响。(2)浏览器的同源策略,限制了来自不同源的“document”或脚本,对当前“document”读取或者设置某些属性。(3)在互联... -
《白帽子讲Web安全(纪念版)》读书笔记 第七章 注入攻击
7.1 SQL注入(1)注入攻击的本质,是把用户输入的数据当做代码执行。有两个关键条件,第一个是用户能够控制输入;第二个是原本程序要执行的代码,拼接了用户输入的数据。(2)“盲注”,就是在服务器没有错误回显时完成的注入攻击。(3)最常见的盲注验证方法是,构造简... -
《白帽子讲Web安全(纪念版)》读书笔记 第十八章 安全运营
18.1 把安全运营起来(1)战略层面包括:Find and Fix,Defend and Defer,Secure and Source。安全运营贯穿在整个体系之中。安全运营需要让端口扫描、漏洞扫描、代码白盒扫描等发现问题的方式变成一种周期性的任务。(2)F... -
《白帽子讲Web安全(纪念版)》读书笔记 第三章 跨站脚本攻击
3.1 XSS简介(1)跨站脚本攻击:英文全称是Cross Site Script,但是为了和层叠样式表(Cascading Style Sheet, CSS)有所区别,所以在安全领域叫做“XSS”。(2)XSS攻击:通常指黑客通过“HTML注入”篡改了网页,... -
《白帽子讲Web安全(纪念版)》读书笔记 第十一章 加密算法与随机数
11.1概述(1)常见的加密算法通常分为分组加密算法和流密码加密算法两种。(2)分组加密算法基于“分组“(block)进行操作,根据算法的不同,每个分组的长度可能不同。代表有DES、3-DES、Blowfish、IDEA、AES等。(3)流密码加密算法每次只处... -
《白帽子讲Web安全(纪念版)》读书笔记 第十二章 Web框架安全
12.1 MVC框架安全(1)MVC是Model-View-Controller的缩写,它将Web应用分成三层,View层负责用户视图、页面展示等工作;Controller层负责应用的逻辑实现,接收View层传入的用户请求,并转发给对应的Model做处理;Mo... -
《白帽子讲Web安全(纪念版)》读书笔记 第十三章 应用层拒绝服务攻击
13.1 DDoS简介(1)DDoS又称为分布式拒绝服务,全称是Distributed Denial of Service。(2)利用合理的请求造成资源过载,导致服务不可用。 13.2 应用层DDoS(1)发生在应用层,TCP三次握手已经完成,连接已经建立。(... -
《白帽子讲Web安全(纪念版)》读书笔记 第十四章 PHP安全
14.1 文件包含漏洞(1)当文件中包含include()、require()、include_once()、require_once()函数时,将该文件当作PHP代码执行,PHP内核并不会在意被包含的文件是什么类型。(2)能够打开并包含本地文件的漏洞,被称为...
扫一扫,把题目装进口袋
- 求职之前,先上牛客
-
扫描二维码,进入QQ群
扫描二维码,关注牛客公众号
- 公司地址:北京市朝阳区北苑路北美国际商务中心K1座一层-北京牛客科技有限公司
- 联系方式:010-60728802 投诉举报电话:010-57596212(朝阳人力社保局)
- 牛客科技© All rights reserved admin@nowcoder.com
- 京ICP备14055008号-4 增值电信业务经营许可证 营业执照 人力资源服务许可证
-
京公网安备
11010502036488号
