没有攻不破的系统,只有还没攻破的系统,有多少条路可以通罗马,大概就有多少种攻克之道。
书中一一剖析各种漏斗原理及攻防之道,既有原理分析,也有实践指导,是一本该行业从业者或是对WEB安全技术有兴趣者值得读读的书,一般看到讲安全的书,一种是讲信息安全理论体系的,基本可以当作大学信息安全教材使用;另一种就是小菜鸟黑客最为喜爱的介绍如何组合使用几个黑客工具,获得对MM加密的QQ空间的访问权限。
本书特点之一是详细枚举了各种存在的攻防技术,及其技术前世今生,作为阿里巴巴公司安全架构师,书中所述实践性强。作者对安全技术系统性的梳理和分析,也体现西安交大高材生深厚功底。
凯文凯利在其《技术元素》一书描述:技术在博弈中不断进步,垃圾邮件>反垃圾邮件>反反垃圾>反反反...无穷尽也。WEB攻防技术亦然,只是作为一名开发开发人员,我们应该尽量做到自己提交的代码或者产品具有最好的安全性,不然就不能怪别人鄙视你了!
XSS、XSRF、Cookie劫持、SQL注入、点击劫持、钓鱼、DDOS攻击一项项技术酸甜苦辣、五味杂陈。刚才在看“楞镜”事件,突然意识到一个问题,想要绝对的安全是遥不可及的,即使你有最先进的技术,最牛逼的人员,系统固若金汤,但是网络设备、线路都是别人的,甚至互联网顶级CA体系页并不是绝对可信(唉,不好说)。在世外桃源你或许可以绝对安全,但是出来混,你如何能保证得了呢?
谈得有点远了!
安全,没有绝对的
对“安全,没有绝对的”的回应
《白帽子讲Web安全》热门书评
-
这本书的定位太尴尬,没啥用,看安全的书还是看老外的把
22有用 6无用 飞鸿踏雪 2013-11-02
内容不成体系,不熟悉的人看不懂,熟悉的人看着又没新意。建议作者先讲基本原理,再逐步展开,这样让人理解深刻得多,否则要看这本书要准备一堆的先验知识。但是如果已经有了先验知识,此书所讲的内容基本是安全行业的老生长谈,作者的创新在哪里?基本上是东抄西抄,还不如直接读外文资料了。...
-
师傅领进门,修行在个人
6有用 0无用 百无禁忌 2014-03-14
基本上覆盖了常见的安全漏洞,全书以攻-防-攻-防的脉络将web安全的要点梳理了一遍,除去框架安全漏洞,网络层安全漏洞,ddos攻击等等,常见的几种安全漏洞基本上可以以token,变量检查,特殊字符过滤,缓存设置等固定方式拦截,以前看其他部门有个开发文档,上面列出了常见安全注意事项,然后由开发完成编码...
-
安全,没有绝对的
6有用 0无用 good bai 2013-09-06
没有攻不破的系统,只有还没攻破的系统,有多少条路可以通罗马,大概就有多少种攻克之道。书中一一剖析各种漏斗原理及攻防之道,既有原理分析,也有实践指导,是一本该行业从业者或是对WEB安全技术有兴趣者值得读读的书,一般看到讲安全的书,一种是讲信息安全理论体系的,基本可以当作大学信息安全教材使用;另一种就是...
-
【值得一读的网络安全书籍】
3有用 0无用 大—豆一奶 2012-04-30
此书讲述关于网络安全相关书籍,对于向我这样想了解黑客到底如何利用网站漏洞对站点进行攻击,有很多丰富的实例。很适合互联网的开发者,按照不同的漏洞类型进行了分类。 针对每个漏洞类型,阐述了基本概念、业界的惨痛教训、如何防范的基本技巧,不局限于某种语言,某种浏...
-
书是好书 , 可为什么没有目录? 为了安全么?
1有用 3无用 九尾 2012-06-20
书是好书 , 可为什么没有目录? 为了安全么?安全专家的书籍果然不一样好吧, 我自己印一个目录贴进去好了书是好书 , 可为什么没有目录? 为了安全么?安全专家的书籍果然不一样好吧, 我自己印一个目录贴进去好了书是好书 , 可为什么没有目录? 为了安全么?安全专家的书籍果然不一样好吧, 我自己印一个目...