读>>>>白帽子讲Web安全<<<<摘要→我推荐的一本书→1

 

《白帽子讲Web安全》吴翰清著

刚开始看这本书就被这本书吸引,感觉挺不错,给大家推荐下,最近读这本书,感觉不错的精华就记录下,
俗话说>>>好脑袋不如一个烂笔头<<<
还有,大家也看出来,最近我也要开始写博客了,
万事开头难嘛,先拿来那些nx点的人物的书籍来记录下,
本人文笔确实不怎么滴,思路略混乱,中学时代我的作文就是我们班的一盏亮灯,指引我们全班文笔不要向我的文笔思路靠近
←```warn```→

读万卷书,行万里路，以后不做宅男。加油···

信息不等于知识,现在看点书籍,记录下,感觉挺不错的<<<

吴→安全工程师的核心竞争力不在于他能拥有多少个0day,
    掌握多少种安全技术,而是在于他对安全理解的深度,
    以及由此引申的看待安全问题的角度和高度.

吴→我们不是要做一个能够解决问题的方案,而是要做一个能够"漂亮地"解决问题的方案。

月有阴晴圆缺,
易有太极，是生两仪。两仪生四象，四象生八卦。
万物负阴而抱阳,冲气以为和。
有黑帽子+白帽子
突然感觉白帽子和黑帽子就像阴阳鱼的黑和白似的→↓
黑帽子以搞破坏为主,白帽子则以建设更安全的互联网为己任.

忽然明白为什么那么多人不想读书了,
因为越读书,越发现你还没读但是还需要读的书你才读了那么多,,,
→加油,不积跬步无以至千里,

吴→不想拿到"root"的黑客不是好黑客,

引申下漏洞→零日漏洞
在计算机领域中，零日漏洞或零时差漏洞（英语：Zero-day exploit）
通常是指还没有补丁的安全漏洞，
而零日攻击或零时差攻击（英语：Zero-day attack）则是指利用这种漏洞进行的攻击。
提供该漏洞细节或者利用程序的人通常是该漏洞的发现者。
零日漏洞的利用程序对网络安全具有巨大威胁，
因此零日漏洞不但是黑客的最爱，
掌握多少零日漏洞也成为评价黑客技术水平的一个重要参数。

"脚本小子"→
我觉得称呼为→"脚本童子"更合适(⊙o⊙)…
个人观点,不喜请喷。
反正喷了我也不会改(⊙o⊙)…>>>脚本童子，我也想做...至少可以装逼啊，哈哈，，，)

黑客精神
→Open,
→Free,
→Share,
期待骑士回来,,,

其实看完书,合上书本,
回忆一下,貌似刚才也没看多少,甚至回忆不起来具体看了点什么,
汗哒哒···
睡一觉,让梦来吸收下看的信息吧,
万一以后用到的时候,突然发现转换为知识了呢,,,

其实我在记录这个>>>>>随笔>>>>>的时候
想另开一篇关于攻击篇[XSS攻击,SQL注入,,,]的记录,,,
只是"记录"(⊙o⊙)…
>>>>>>>>>>>>>>>>>>>>>>未完待续,,,

←```晚安```→
O(∩_∩)O哈哈~

2015年5月16日11:09:16←↓→
连上VPN,听着歌,宅着继续看会这本书,
>>>其实我觉得宅,从某一个方面,我觉得是一种堕落的表现,
为什么呢,因为懒,因为宅着舒服,因为喜欢宅所以宅,,,

安全三要素→Confidentiality_机密性,Integrity_完整性,Avaliability_可用性.
↓
机密性→常见的手段是加密
完整性→数字签名
可用性→要求保护资源"随需可得"
↓
扩展的其他小要素→可审计性,不可抵赖性<<<

安全评估
↓
阶段→资产等级划分>>>威胁分析>>>风险分析>>>确认解决方案
↓
互联网安全的核心问题,是数据安全的问题
↓
安全领域→威胁:可能造成[危害]的[来源]
安全领域→风险:可能会出现的[损失]
↓
微软提出的一种威胁建模→模型来指出哪些方面可能存在威胁
威胁 >>>>>>>>>>>>>>>>>>>>>>>>>>>>>定义>>>>>>>>>>>>>>对应的安全属性
S→Spoofing_伪装 >>>>>>>>>>>>>>>>>>冒充他人身份>>>>>>>认证
T→Tampering_篡改>>>>>>>>>>>>>>>>>>修改数据或代码>>>>>完整性
R→Repudiation_抵赖>>>>>>>>>>>>>>>>否认做过的事>>>>>>不可抵赖性
I→InformationDisclosure_信息泄露>>>机密信息泄露>>>>>>机密性
D→Denial of Service_拒绝服务>>>>>>>拒绝服务>>>>>>>>>>可用性
E→Elevation of privilege_提升权限>>未经授权获得许可>>>授权

没有不安全的业务,只有不安全的实现方式.

最终一个优秀的安全解决方案具备以后特点
↓
→能够有效解决问题
→用户体验好
→高性能
→低耦合
→易于扩展和升级