试读《白帽子讲Web安全》随感
出于对Web安全方面的兴趣,我看完了这本书的试读部分,读完之后的第一感觉是作者的写作能力很是不错,内容写得比较风趣,也比较明了。首先看了开篇的介绍,感觉作者就属于那种少年天才之类的人物,他在自己的简介中说道自己2000年上西安交通大学,2007年以23岁之龄成为阿里巴巴最年轻的技术专家,这一算,作者16岁就上大学了(我16岁的时候在干吗?我在上高一吧)。之后看了作者的个人博客,首页上个人签名很有意思-Secur1ty just lik3 a girl. B0th of th3m h4ve s0me h0les. Y0u alw4ys try to t0uch the h0le, but n0t 3very tim3 y0u c4n 3xpl0it it!(1-i, 3-e, 4-a, 0-o)
虽然我不是这方面的能手(基本上什么都不懂),整本书的关键字中,估计以前就知道SQL注入,像XSS、CSRF之类的没有听过,但是在作者的解释下至少能了解这是一种什么样的攻击,以及如何解决这些攻击。再看第五章点击劫持的时候,有了似曾相识的感觉,还记不记得,当你点击某一图片(如XX美女)的时候,跳出了一个网站,再点击,再跳出另一个网站,不一会儿,你的浏览器上开了N个页面,这时你怒了,大吼一声:什么玩意儿,还让不让人看了。
回到第一章,作者讲了白帽子和黑帽子。白帽子,则是指那些精通安全技术,但是工作在反黑客领域的专家们;而黑帽子,则是指利用黑客技术造成破坏,甚至进行网络犯罪的群体。黑帽子有选择性的一点突破,寻找系统的漏洞。而对于白帽子来说,必须找到系统的所有弱点,不能有遗漏,才能保证系统不会出现问题。这就是“破坏比建设更容易”,作为黑帽子有较大的利益可图,导致现在的互联网很不安全,需要大家注重安全意识。
在试读的最后一章,作者还介绍了一些流行的WEB框架的一些问题以及可以实行的一些安全方案,看书的时候也只能看到,并不能有效理解,因为对这方面不了解,只是出于兴趣的原因看了试读的章节。总体感觉还是很不错的,至少在作者的笔下,这些生涩的概念显得易于理解,同时也拓展了自己关于web安全方面的视野。