读后感_白帽子讲web安全(一)
严格来说这并不是读后感,是我看了《白帽子将web安全》自己所想的,想把它说出来而已。
序
其实我也并没有很多读书的习惯,之前下载过本书的电子版,粗略的看了下目录和一些内容,里面讲的很多东西自己从别的渠道(别人的文章,别人的经验总结等)已经知道的差不多了,不过从目录中还是发现了有不少值得我学习的地方,作者的安全世界观,对一些漏洞原理的解读和对互联网公司的安全运营等等。这些我无法从别人的文章里面获取。然后双十一的时候感觉想shopping一下,就买了这本书。
黑客精神
作者说早期黑客崇尚分享,自由,免费的互联网精神,并热衷于分享自己的最新研究成功。到了“黑暗时代”,此时黑客群体因为互相之间缺乏信任已经不再具有开放和分享的精神,最为纯粹的黑客精神实质上已经死亡,黑客精神死了。
想想自己之前曾创建过一个“自由基地”,用来专门收集一些教程,电子书等等的资料,后来觉得没意思了,就没有继续下去了。所谓的早期黑客精神(自由分享免费)在坚持一段时间后就“消失了”,我觉得就是因为觉得他们没意思了。
早期觉得自由分享免费很酷,很厉害的样子,事实上也不能为自己增加什么东西,毕竟人是最大的弱点不是?人的需求没有被满足就这样消失了。当然,会有数以万记的后来者又想发扬这个早期的黑客精神,但慢慢又消失了,因为也觉得这样没有意思了,比如我。后来的后来是无穷尽的,所以这所谓的精神是不是又说明一直都存在呢?
黑帽子和白帽子
黑帽子和白帽子的划分,如果黑帽子看成为一个攻击者,白帽子看成一个防御者,其实我更愿意作为一个黑帽子,防守有什么意思呢?至于目的,who care?
安全的本质
安全的本质就是一个信任的问题,然后围绕信任产生的各种攻击和防御手段。密码学中颁发密钥的方法是找一个可靠的第三方机构,信任它即可。作为一个白帽子,不信任任何东西,只相信自己?作为一个黑帽子,找到你信任的那个东西,然后伪装成它?
早先的XSS Filter模式的黑名单机制,可能规则很多,过滤了诸如<script>
<iframe>
等标签,但是黑名单总会有遗漏,比如未来浏览器如果支持新的HTML标签,那么此标签可能就不在黑名单之中了,所以黑名单的规则不是静态的?需要时时更新?攻与防的过程也需要时时更新的咯?事务是变化的,临界值也不是一成不变的,“多数人”也不是一成不变的,所以我们要用变化的观点取看待变化的事物。
技术方面
对于一个技术宅来说,写出这么多自己都不知道是什么的感想,自己最后都不知道说的什么….,下面说说从书里获得的技术方面。
- PHP的5.3.4版本修复了很多年来万恶的0字节截取功能,这个功能被文件包含漏洞利用,酿造了无数血案。(才知道…)
- 浏览器的同源策略:同源策略是一种浏览器的约定,说白了就是不让你网站的脚本控制他网站的内容。书中对此讲的比较详细。Ps:我以后要写浏览器内核的话就去掉同源策略玩玩( @#!嘿嘿嘿)。