白帽子讲安全学习笔记（一）：世界观安全

第一篇 世界观安全

第1章 我的安全世界观

 

安全三要素：机密性、完整性和可用性

 

1. 资产等级划分；

2. 威胁分析；

3. 风险分析；

4. 确认解决方案；

威胁分析：

风险分析-DREAD模型：

白帽子兵法：

1. security by default

黑名单、白名单原则；

最小权限原则；

2. 纵深防御原则

不同方面、不同层面的防御方案；

正确的地方做正确的事情；

3. 数据与代码分离

4. 不可预测性原则

让攻击者不能有效的执行攻击

 

第二篇 客户端脚本安全

第2章 浏览器安全

第3章 跨站脚本攻击（XSS）

第4章 跨站点请求伪造（CSRF）

第5章 点击劫持（ClickJacking）

第6章 HTML 5 安全

第三篇 服务器端应用安全

第7章 注入攻击

第8章 文件上传漏洞

第9章 认证与会话管理

第10章 访问控制

第11章 加密算法与随机数

第12章 Web框架安全

第13章 应用层拒绝服务攻击

第14章 PHP安全

第15章 Web Server配置安全

第四篇 互联网公司安全运营

第16章 互联网业务安全

第17章 安全开发流程（SDL）

第18章 安全运营