白帽子讲安全学习笔记第一章
2015-05-14 09:39
260 查看
第一章 我的安全世界观
1.安全问题的本质是信任的问题。
2.安全是一个持续的过程,没有银弹。
3.安全三要素:机密性、完整性、可用性。
4.实施安全评估的过程:资产等级划分、威胁分析、风险分析、确认解决方案。
5.分析威胁可以考虑的6个方面:
威胁------------------------定义----------------对应的安全属性
5.1 Spoofing(伪装)-------------冒充他人身份--------认证。
5.2 Tampering(篡改)------------修改数据或者代码---完整性。
5.3 Repudiation(抵赖)-----------否认做过的事情-----不可抵赖性。
5.4 InformationDisclosure(信息泄漏)-----机密信息泄漏-----机密性。
5.5 Denial of Service(拒绝服务)---拒绝服务----可用性。
5.6 Elevation of Privilege(提升权限)---未经授权获得许可---授权。
6. 设计安全方案时的几种方案和原则
6.1 Secure By Default 原则(默认安全原则)
6.1.1 白名单、黑名单。
6.1.2 最小权限原则。
6.2 纵深防御原则。
6.3 数据于代码分离原则。 alert("$var1")------------------------------------alert("</script><script>alert("fdd") </script>"); 弹出结果是fdd,也许漏斗就是无处不再的吧!
6.4 不可预测性原则。
1.安全问题的本质是信任的问题。
2.安全是一个持续的过程,没有银弹。
3.安全三要素:机密性、完整性、可用性。
4.实施安全评估的过程:资产等级划分、威胁分析、风险分析、确认解决方案。
5.分析威胁可以考虑的6个方面:
威胁------------------------定义----------------对应的安全属性
5.1 Spoofing(伪装)-------------冒充他人身份--------认证。
5.2 Tampering(篡改)------------修改数据或者代码---完整性。
5.3 Repudiation(抵赖)-----------否认做过的事情-----不可抵赖性。
5.4 InformationDisclosure(信息泄漏)-----机密信息泄漏-----机密性。
5.5 Denial of Service(拒绝服务)---拒绝服务----可用性。
5.6 Elevation of Privilege(提升权限)---未经授权获得许可---授权。
6. 设计安全方案时的几种方案和原则
6.1 Secure By Default 原则(默认安全原则)
6.1.1 白名单、黑名单。
6.1.2 最小权限原则。
6.2 纵深防御原则。
6.3 数据于代码分离原则。 alert("$var1")------------------------------------alert("</script><script>alert("fdd") </script>"); 弹出结果是fdd,也许漏斗就是无处不再的吧!
6.4 不可预测性原则。
相关文章推荐
- c++ primer 学习笔记-第一章
- 【学习笔记】《如何构建敏捷项目管理团队》第一章 成为好教练
- win2003命令行下IP安全策略学习笔记
- 【C++学习01】《Essential C++》第一章(Basic C++ Programming)笔记
- Linux学习笔记_安全相关
- Python学习笔记-第一章 基础知识
- PHP学习笔记5 - 安全事务
- 学习数据结构的笔记(第一章)
- OWASP WebGoat---安全测试学习笔记(二)---访问控制缺陷
- OWASP WebGoat---安全测试学习笔记(七)---并发
- Linux安全体系学习笔记之三:OpenSSL源代码分析(2)
- OWASP WebGoat---安全测试学习笔记(十三)---不安全配置
- linux shell脚本攻略 学习笔记1 -- 第一章 小试牛刀
- 【安全牛学习笔记】Linux缓冲区溢出
- CUDA C 编程权威指南 学习笔记:第一章 基于CUDA的异构并行计算
- 《COM原理及应用》学习笔记之第一章
- C++ Primer 学习笔记第一章
- qt 学习笔记第一章
- 数据库原理(第五版)学习笔记一(第一章、第二章)
- C++ Primer 学习笔记(第一章:开始)