web安全概略

声明：本文章是在看《白帽子讲web安全》时所做的记录，以供复习

攻击方式重点：

sql注入    xss

技巧：

1.数据库里的登录ID和昵称分开

一.安全世界观

1.安全是一个持续过程

2.安全三要素

2.1机密性
2.2完整性
2.3可用性

3.安全评估

  资产等级划分->威胁分析->风险分析->确认解决方案

  3.1资产等级划分
  3.2威胁分析
  3.3风险分析
  3.4确认解决方案

4.白帽子兵法

  4.1Secure By Default原则

    4.1.1黑名单、白名单
    4.1.2最小权限原则
    4.1.3纵深防御原则
    4.1.4数据与代码分开原则
    4.1.5不可预测性原则

 

二.浏览器安全

2.1同源策略
2.2浏览器沙箱

更新中......