web安全-（白帽子讲web安全第一遍读书笔记）

第一遍读完这本书，记录一下对整本书学习到的内容：

第一部分：世界观安全，在安全的处理上，尽量使用白名单，不使用黑名单，赋予需要的最小权限。

第二部分：客户端脚本安全，客户端脚本的安全是基于同源策略，即同源信任，通过引入异常脚本的执行获取想要的信息。

 主要分为：

跨站点脚本攻击   通过伪造url，让用户点击获取用户信息。  或者存储到服务器上，让用户访问页面，引起脚本执行。

跨站点请求伪造   在用户访问的基础上，误导用户访问想做的处理，对服务器数据进行处理。

点击劫持   遮盖页面，让用户点击页面，获取用户的信息，通过加工，再给到服务器

html5安全   html5的新增标签容易导致信息被泄露

 

服务器端应用安全

注入攻击    最常见的是sql注入，引发数据信息泄露

文件上传漏洞   文件上传大的漏洞，是用户通过服务器的漏洞上传文件，然后出发上传的文件执行

认证与会话管理    服务器的认证和会话的异常，导致可以进行非法访问

访问控制     对于服务器资源的控制不够，导致信息泄露

加密算法与随机数    加密算法的简单和随机数不能达到随机的场景会导致信息泄露

web框架安全   从web框架谈在合适点的地方做合适的安全处理

应用层拒绝访问    ddos导致服务不可用，服务器上应该做哪些防止出现这类场景

php安全   php带来了便利，也带来了很多风险，会导致安全问题

web server配置安全     对于服务器容器的安全需要进行关注

 

第四部分  互联网公司安全运营

对于互联网，信息安全很重要，需要非常重视可能存在的风险和问题，  另外需要在安全开发流程和安全运营方面做工作。把安全工作放在引入阶段和运行监控阶段