读《白帽子讲web安全》
从上大学接触计算机以来,对黑客呀什么的就比较感兴趣,当时还买过黑客的杂志,拿学校计算中心的电脑作为试验对象,用杂志上介绍的工具试验过,曾经成功过,感觉颇为得意。后来开始学编程,开始考虑以后的工作,感觉这些东西不实在,就没有继续。工作之后,自己参与的项目第一次被sql注入时,因为当时是领导给我演示的,也就没有很上心;真正上心是因为一次公司在网上搞推广活动,鼓励用户用积分兑换礼品,系统存在一个漏洞,差点让公司损失一个iphone,这才意识到web安全的重要性。前一段时间在看到有读书的活动,看了一下书单,对这个《白帽子讲web安全》最感兴趣,下载下来读了一个中午,读的有些慢,没有读完,然后就被项目任务给压住了,今天终于有时间,拿出来将他看完,感觉受益匪浅(虽然没打算web安全的方向,但是感觉这东西依然很重要,毕竟我也是做web开发的)。
前言里写到作者进入阿里的故事,感觉比较传奇,真要赞一个:太强了!
第一章?我的安全世界观。这一章解释了一些很关键的概念:安全的本质、要素和评估,算是对安全有了一个清晰明确的认识;白帽子兵法一节(虽然只有短短几页)对安全的方案的设计有了一个整体的概念,其中的黑白名单原则、不可预测性原则自己其实以前也简单使用过,只是没有考虑那么多本质上的东西,哈哈,真是非常受用。第一章的最后讲的安全哲学,读完让我对漏洞的概念有了一个新的认识,完全赞同作者的观点。
第五章 点击劫持。之前也遇到过被劫持的情况,本章对劫持的原理解释的还是比较清楚,只是对页面技术了解的不多,其中说到的细节没有去深究。
第十二章 web框架安全 这一章开始主要说web开发框架的好处,看时蛮高兴的,其中说到的框架有几个都是正在使用中,心想原来用框架只是感觉比较方便,没想到还有这么多好处;看完之后,却开始有些担心,其中的struts2正在项目中用着,目前还在线上运行着,spring mvc 也有一些牵扯,不会出问题吧...
web安全的问题太深了。上周六去了图书馆,没有找到这本书,希望能得到一本.^_^
