微信号:infoqchina

介绍:有内容的技术社区媒体

阅读者:不容小觑的Web安全

2013-05-15 22:15 InfoQ

去年,“道哥的黑板报”作者、前阿里巴巴安全专家吴翰清(@aullik5,人称“刺”或者“道哥”)结合自己的经验出版了一部安全领域的“实战宝典”——《白帽子讲Web安全》。该书前言中是这样来描述“白帽子”的:


黑帽子是指那些造成破坏的黑客,而白帽子则是研究安全,但不造成破坏的黑客。白帽子均以建设更安全的互联网为己任。


《白帽子讲Web安全》一书的内容安排非常清晰:

  1. 世界观安全(先统一认识,站在同一起跑线上再去谈具体的内容)

  2. 客户端脚本安全

  3. 服务器端应用安全

  4. 安全运营(光有技术、有想法,整个公司没有安全运营的意识,产品的规划和设计不当,技术上的投入都可能打水漂)

书中有一个观点,是我个人非常赞同的,即将部分安全相关的功能默认集成到开发框架之中。由于开发人员的水平参差不齐,而且有时迫于项目进度的压力,可能在安全方面考虑不周,很容易造成安全漏洞。而像XSS、CSRF等威胁,在框架层面上提供一些辅助方法后,只要使用得当即可起到很好的保护作用。对于限制频繁访问,可以在框架中加入限流模块,通过验证码或限流页面等方式保护系统,而那些非Web的提供接口服务的系统,同样也能融入类似的限流功能自我保护。


本书的最后部分谈到了微软的SDL,对于互联网公司来说,可能经常需要上线新功能,修正线上问题等等,这时完整运用SDL也许不太合适,但是不妨参考其中一些思想和做法。


点击“阅读原文”查看更多内容并吐槽吧。

 
InfoQ 更多文章 Facebook如何实现PB级别数据库自动化备份 学术派Google软件工程师Matt Welsh谈移动开发趋势 Spotify为什么要使用一些“无聊”的技术? 妹纸们放假了,汉纸们做啥? 大多数重构可以避免
猜您喜欢 宿敌的相遇!矢量神软AI和修图神器PS有那些差异? 科技史 | 魔法还是机械?中世纪那些不可思议的精巧机器 5年了,CSDN博客终于变了 没有什么不可以分享!马化腾告诉你分享经济的无限可能 微信ANDROID客户端-会话速度提升70%的背后