《白帽子講Web安全》讀后感

——Deep Blue

(一個安全小兵的感受)

這是一篇作業(yè)冀续；這是一篇讀后感；這是一篇記錄安全的感悟；這是一篇對道哥的敬仰；這是我安全啟蒙的鑰匙......

和《白帽子講Web安全》的緣分來自一個小意外份汗，在來大學(xué)之前的我選擇了信息安全這個專業(yè)。通過各種渠道吧映跟，我在方方面面了解到這個行業(yè)的那些事兒迹卢，一點(diǎn)一滴的積累這我的安全觀。指導(dǎo)我遇見這本書银还，第一次覺得安全原來是那么清晰的展示在我眼前风宁。“互聯(lián)網(wǎng)本來是安全的蛹疯，自從有了研究安全的人之后戒财，互聯(lián)網(wǎng)就變得不安全了”當(dāng)我看到這一句的時候，毫不猶豫的把它作為我的簽名捺弦，原來我們才是讓互聯(lián)網(wǎng)變得不安全的人耙！

初來大學(xué)列吼，第一次進(jìn)入圖書館幽崩。當(dāng)我發(fā)現(xiàn)AUST圖書館也藏有這本書的時候，我是多么激動寞钥，轉(zhuǎn)便了所有的書架找到這本書慌申。可以說是笑著抱回宿舍理郑，開始了我的第一次閱讀蹄溉。

第一次看道哥的作品難度還是很大的，整本書四篇十八章香浩，包括世界觀安全类缤、客戶端腳本安全、服務(wù)端應(yīng)用安全以及互聯(lián)網(wǎng)公司安全運(yùn)營四大部分邻吭。當(dāng)時還是大一小萌新的我只看了世界觀安全餐弱，第一次徹底了解到ROOT是個啥，以前只知道手機(jī)ROOT能刪除一些系統(tǒng)應(yīng)用囱晴。當(dāng)我知道“root”對黑客的吸引膏蚓，就像大米對老鼠，美女對色狼的吸引的時候畸写，立下一個小flag拿下一個網(wǎng)站的root驮瞧。不想拿到“root”的黑客，不是好黑客枯芬。說到黑客我也又不得不多說點(diǎn)论笔，在黑客的世界里采郎，有的黑客，精通計(jì)算機(jī)技術(shù)狂魔，能夠自己挖掘漏洞蒜埋，并編寫“exploit”（黑客們使用的漏洞利用代碼叫做exploit）；而有的黑客最楷，只是對攻擊本身感興趣整份，對計(jì)算機(jī)原理和各種編程技術(shù)的了解比較粗淺，因此只懂得編譯別人的代碼籽孙，自己并沒有動手能力烈评，這種黑客被稱為“Script Kids”（腳本小子）。在現(xiàn)實(shí)世界中犯建，真正造成破壞的讲冠，往往并非那些挖掘并研究漏洞的“黑客們”，而是這些腳本小子胎挎。在安全的道路上總是有人疑惑自己已經(jīng)到了那一步沟启，曾看到這樣一個分級：會使用工具找漏洞就屬于初級，能寫自己的黑客工具應(yīng)該就是中級階段犹菇，能自動化“挖漏洞”就屬于高級的大牛了德迹。談黑客，這本書中的黑客簡史真的深深的吸引了我揭芍。

中國黑客發(fā)展分為三個階段：啟蒙時代胳搞、黃金時代、黑暗時代

啟蒙時代

20世紀(jì)90年代称杨，也正是中國互聯(lián)網(wǎng)剛剛起步階段肌毅，熱愛新興技術(shù)的青年收到國外黑客技術(shù)影響，開始研究安全漏洞姑原。啟蒙時代的黑客大多由于個人愛好走上這條路悬而，好奇心和求知欲是他們前進(jìn)的動力，沒有任何利益瓜葛锭汛。這個時期的中國黑客們通過互聯(lián)網(wǎng)笨奠，看到了世界，因此與西方發(fā)達(dá)國家同期誕生的黑客精神是一脈相傳的唤殴，他們崇尚分享般婆、自由、免費(fèi)的互聯(lián)網(wǎng)精神朵逝，并熱衷于分鐘自己的最新研究成果蔚袍。

黃金時代

以2001年中美黑客大戰(zhàn)為標(biāo)志（感興趣的同學(xué)可以百度一下“中美黑客大戰(zhàn)”，相信大家都記得2001年中國飛行員王偉為了捍衛(wèi)國家主權(quán)配名，被美國偵察機(jī)撞毀事件啤咽，起因正是這件事晋辆，這次事件中，中國黑客空前團(tuán)結(jié)闰蚕，與美國黑客開展了一場激烈的黑客大戰(zhàn)栈拖，非常轟動连舍，也這是世界第一次黑客大戰(zhàn)）没陡，這次事件大大推動了中國黑客的發(fā)展，崛起了一批黑客索赏、紅客聯(lián)盟盼玄，也讓黑客這個特殊群體一下吸引了社會的眼球，黑客圈子所宣揚(yáng)的黑客文化和黑客技術(shù)的獨(dú)特魅力也吸引了無數(shù)的青少年走上黑客這條道路潜腻。這次事件之后埃儿，各種黑客組織如雨后春筍般冒出，他們普遍的特點(diǎn)是：年輕融涣、有活力童番、充滿激情，但技術(shù)上也許還不夠成熟威鹿。此時剃斧，黑客圈子里販賣漏洞、惡意軟件的現(xiàn)象開始升溫忽你，因?yàn)楹诳腿后w良莠不齊幼东，開始出現(xiàn)以贏利為目的的攻擊行為，黑色產(chǎn)業(yè)鏈逐漸成型科雳。

黑暗時代

這個時代大概從幾年前開始一直持續(xù)到現(xiàn)在（PS. 是哪一年呢根蟹？個人覺得大概是07年底左右開始吧），也許還將繼續(xù)下去糟秘。這個時期的黑客組織也遵循社會發(fā)展規(guī)律简逮，優(yōu)勝劣汰，大多數(shù)黑客組織沒有堅(jiān)持下去尿赚，20世紀(jì)非常流行的黑客技術(shù)論壇也越來越?jīng)]有人氣散庶，最終走向沒落。所有門戶型的漏洞披露站點(diǎn)吼畏，再也不公布任何漏洞相關(guān)技術(shù)細(xì)節(jié)督赤。隨著安全產(chǎn)業(yè)發(fā)展，黑客的功利性越來越強(qiáng)泻蚊，黑色產(chǎn)業(yè)鏈開始成熟躲舌。在20世紀(jì)技術(shù)還不太成熟的黑客們，凡是堅(jiān)持下來的性雄，都已經(jīng)成為安全領(lǐng)域的高級人才没卸，要么羹奉，在安全公司貢獻(xiàn)自己的專業(yè)技能，要么帶著非常強(qiáng)的技術(shù)進(jìn)入黑色產(chǎn)業(yè)约计。此時期的黑客群體因?yàn)榛ハ嘀g缺失信任诀拭，已經(jīng)不再具有開放和分享的精神，最純粹的黑客精神實(shí)質(zhì)上已經(jīng)死亡煤蚌。整個互聯(lián)網(wǎng)籠罩在黑色產(chǎn)業(yè)鏈的陰影之下耕挨，每年數(shù)十億經(jīng)濟(jì)損失和數(shù)千萬網(wǎng)民受害，黑客精神的死亡尉桩，讓我們沒有理由不把這個時代稱為黑暗時代筒占。也許，黑客精神所代表的Open蜘犁、Free翰苫、Share，真的一去不復(fù)返了这橙！

真羨慕那個令人熱血的時代奏窑，但如今依舊是互聯(lián)網(wǎng)充滿機(jī)遇的時代！

不過你知道嗎屈扎？ “黑客”是有好壞之分的埃唯！白帽子、黑帽子助隧，他們是誰：在黑客的世界中筑凫，往往用帽子的顏色來比喻黑客的好壞。白帽子并村，是指那些精通安全技術(shù)巍实，工作在反黑客領(lǐng)域的專家們；而黑帽子哩牍，是指利用黑客技術(shù)造成破壞棚潦，甚至進(jìn)行網(wǎng)絡(luò)犯罪的群體。

白帽子和黑帽子工作的心態(tài)完全不同：正是因?yàn)榘酌弊雍秃诿弊拥哪繕?biāo)不同膝昆，所以他們在工作時的心態(tài)是完全不同的丸边。對于黑帽子來說，只要能夠找到系統(tǒng)的一個弱點(diǎn)荚孵，就可以達(dá)到入侵系統(tǒng)的目的妹窖；而對于白帽子來說，必須找到系統(tǒng)的所有弱點(diǎn)收叶，不能有遺漏骄呼，才能保證系統(tǒng)不會出現(xiàn)問題。白帽子要求全面宏觀、黑帽子思考問題是有選擇性的蜓萄、微觀的：白帽子一般為企業(yè)或安全公司服務(wù)隅茎，工作的出發(fā)點(diǎn)就是要解決所有的安全問題，因此所看所想必然要求更加的全面嫉沽、宏觀辟犀；黑帽子的主要目的是要入侵系統(tǒng)，找到對他們有價值的數(shù)據(jù)绸硕，因此黑帽子只需要以點(diǎn)突破堂竟，找到對他們最有用的一點(diǎn)，以此滲透臣咖，因此思考問題的出發(fā)點(diǎn)必然是有選擇性的跃捣、微觀的。

從對待問題的角度來看夺蛇，黑帽子是不斷組合問題，白帽子是不斷分解問題：黑帽子為了完成一次入侵酣胀，需要利用各種不同漏洞的組合來達(dá)到目的刁赦，是在不斷地組合問題；而白帽子在設(shè)計(jì)解決方案時闻镶，如果只看到各種問題組合后產(chǎn)生的效果甚脉，就會把事情變復(fù)雜，難以細(xì)致入微地解決根本問題铆农，所以白帽子必然是在不斷地分解問題牺氨，再對分解后的問題逐個予以解決。這種定位的不對稱墩剖，也導(dǎo)致了白帽子的安全工作比較難做猴凹。“破壞永遠(yuǎn)比建設(shè)容易”岭皂，白帽子選擇的方法郊霎，是克服某種攻擊方法，而并非抵御單次的攻擊爷绘。

安全問題往往發(fā)生在一些意想不到的地方：上述一切都是理想狀態(tài)书劝，在現(xiàn)實(shí)世界中，存在著各種各樣不可回避的問題土至。工程師們很喜歡一句話：“No Patch For Stupid购对！”，在安全領(lǐng)域也普遍認(rèn)為：“最大的漏洞就是人陶因！”骡苞。寫得再好的程序，在有人參與的情況下，就可能會出現(xiàn)各種各樣不可預(yù)知的情況烙如，比如管理員的密碼有可能泄露么抗，程序員有可能關(guān)掉了安全的配置參數(shù)，等等亚铁。安全問題往往發(fā)生在一些意想不到的地方蝇刀。防御技術(shù)在不斷完善的同時，攻擊技術(shù)也在不斷地發(fā)展徘溢。這就像一場軍備競賽吞琐，看誰跑在前面。

世界安全觀不僅僅講的是黑客是理念然爆，更多的是思想站粟。道哥也點(diǎn)出安全問題的本質(zhì)是信任的安全問題。一切的安全方案設(shè)計(jì)的基礎(chǔ)曾雕，都是建立在信任關(guān)系上的奴烙。我們必須相信一些東西，必須有一些最基本的假設(shè)剖张，安全方案才能得以建立切诀；如果我們否定一切，安全方案就會如無源之水搔弄，無根之木幅虑，無法設(shè)計(jì)，也無法完成顾犹。

把握住信任條件的度倒庵，是安全的藝術(shù)魅力：在現(xiàn)實(shí)生活中，我們很少設(shè)想最極端的前提條件炫刷，因?yàn)闃O端的條件往往意味者小概率以及高成本擎宝，因此在成本有限的情況下，我們往往會根據(jù)成本來設(shè)計(jì)安全方案柬唯，并將一些可能性較大的條件作為決策的主要依據(jù)认臊。

從另一個角度來說，一旦我們作為決策依據(jù)的條件被打破锄奢、被繞過失晴，那么就會導(dǎo)致安全假設(shè)的前提條件不再可靠，變成一個偽命題拘央。因此涂屁，把握住信任條件的度，使其恰到好處灰伟，正是設(shè)計(jì)安全方案的難點(diǎn)所在拆又，也是安全這門學(xué)問的藝術(shù)魅力所在儒旬。

安全的世界里，沒有一勞永逸的銀彈：在解決安全問題的過程中帖族，不可能一勞永逸栈源，也就是說“沒有銀彈”。任何人想要一勞永逸地解決安全問題竖般，都屬于一相情愿甚垦，是“自己騙自己”，是不現(xiàn)實(shí)的涣雕。

安全是一個持續(xù)的過程艰亮。?自從互聯(lián)網(wǎng)有了安全問題以來，攻擊和防御技術(shù)就在不斷碰撞和對抗的過程中得到發(fā)展挣郭。從微觀上來說迄埃，在某一時期可能某一方占了上風(fēng)；但是從宏觀上來看兑障，某一時期的攻擊或防御技術(shù)侄非，都不可能永遠(yuǎn)有效，永遠(yuǎn)用下去旺垒。這是因?yàn)榉烙夹g(shù)在發(fā)展的同時彩库，攻擊技術(shù)也在不斷發(fā)展，兩者是互相促進(jìn)的辯證關(guān)系先蒋。以不變的防御手段對抗不斷發(fā)展的攻擊技術(shù)，就犯了刻舟求劍的錯誤宛渐。在安全的領(lǐng)域中竞漾，沒有銀彈。

我的世界安全觀就這么建立了吧窥翩，安全問題的本質(zhì)是信任的問題业岁。并且安全是一個持續(xù)的過程，并不存在所謂的銀彈寇蚊。也知道一個安全評估的過程可以分為4個階段：資產(chǎn)等級劃分笔时、威脅分析、風(fēng)險分析仗岸、確認(rèn)解決方案允耿。雖然懵懵懂懂但總算是讀下來了，還有那幾個不太懂的白帽子兵法 1.Secure By Default 原則（白名單黑名單扒怖、最小權(quán)限原則）2.縱深防御原則 3.數(shù)據(jù)和代碼分離原則 4.不可預(yù)測性原則

可喜可賀的是我也擁有了一本自己的《白帽子講Web安全》這本書了较锡，再也不用擔(dān)心圖書館的這本書會被借走了。也在慢慢接觸Web安全的一些漏洞盗痒。

Web 攻擊技術(shù)發(fā)展的幾個階段：①Web 1.0時代蚂蕴，人們更多的是關(guān)注服務(wù)器端動態(tài)腳本的安全問題，比如將一個可執(zhí)行腳本（俗稱webshell）上傳到服務(wù)器上，從而獲得權(quán)限骡楼。動態(tài)腳本語言的普及熔号，以及 Web 技術(shù)發(fā)展初期對安全問題認(rèn)知的不足導(dǎo)致很多“血案”的發(fā)生，同時也遺留下很多歷史問題鸟整，比如PHP 語言至今仍然只能靠較好的代碼規(guī)范來保證沒有文件包含漏洞引镊，而無法從語言本身杜絕此類安全問題的發(fā)生。②SQL注入的出現(xiàn)是Web 安全史上的一個里程碑吃嘿。SQL注入最早出現(xiàn)在 1999年祠乃，并很快就成為Web 安全的頭號大敵。通過SQL 注入攻擊兑燥，可以獲取很多重要的亮瓷、敏感的數(shù)據(jù)，甚至能夠通過數(shù)據(jù)庫獲取系統(tǒng)訪問權(quán)限降瞳，這種效果并不比直接攻擊系統(tǒng)軟件差嘱支，Web 攻擊一下子就流行起來。（SQL 注入漏洞至今仍然是Web 安全領(lǐng)域中的一個重要組成部分挣饥。）③XSS （跨站腳本攻擊）的出現(xiàn)則是 Web 安全史上的另一個里程碑除师。實(shí)際上，XSS 的出現(xiàn)時間和SQL 注入差不多扔枫，但是真正引起人們重視則是在大概 ?2003年以后汛聚。在著名的是2005年的MySpace的XSS 蠕蟲事件后，安全界對 XSS 的重視程度提高了很多短荐。④隨著Web 2.0 的興起倚舀，XSS 、CSRF（跨站請求偽造） 等攻擊已經(jīng)變得更為強(qiáng)大忍宋。Web 攻擊的思路也從服務(wù)器端轉(zhuǎn)向了客戶端痕貌，轉(zhuǎn)向了瀏覽器和用戶。黑客們天馬行空的思路糠排，覆蓋了Web 的每一個環(huán)節(jié)舵稠，變得更加的多樣化。⑤互聯(lián)網(wǎng)的蓬勃發(fā)展入宦，也催生出許多新興的腳本語言哺徊，比如Python 、Ruby云石、NodeJS等唉工，敏捷開發(fā)成為互聯(lián)網(wǎng)的主旋律。而手機(jī)技術(shù)汹忠、移動互聯(lián)網(wǎng)的興起淋硝，也給HTML 5 帶來了新的機(jī)遇和挑戰(zhàn)雹熬。Web安全技術(shù)，也緊跟著互聯(lián)網(wǎng)發(fā)展腳步谣膳，不斷地演化出新的變化竿报。（以上名詞：SQL注入、XSS跨站继谚、CSRF跨站偽請求偽造等烈菌，不明白意思沒關(guān)系，先熟悉個名詞吧花履，知道它們是WEB應(yīng)用安全的重要敵人就行芽世，后面慢慢講解他們具體是什么，有什么危害诡壁，怎么防范）

暫且研究了這么多济瓢，互聯(lián)網(wǎng)公司的安全運(yùn)營還得需要一個更堅(jiān)實(shí)的基礎(chǔ)去學(xué)習(xí)。

給自己一個小目標(biāo)

目標(biāo)一：讓工程師寫出的每一行代碼都是安全的妹卿。

目標(biāo)二：讓所有已知的旺矾、未知的攻擊，都能在第一時間發(fā)現(xiàn)夺克，并迅速報(bào)警和追蹤箕宙。

目標(biāo)三：讓安全成為公司核心競爭力，深入到每一個產(chǎn)品的特性中铺纽，能夠更好地引導(dǎo)用戶使用互聯(lián)網(wǎng)的習(xí)慣柬帕。

目標(biāo)四：能夠觀測到互聯(lián)網(wǎng)安全趨勢的變化，對未來一段時間內(nèi)的風(fēng)險做出預(yù)測狡门。

最后再提起安全問題的本質(zhì):

安全問題的本質(zhì)是信任問題雕崩。

把握信任條件的度，使其恰到好處融撞。

安全是一個持續(xù)的過程。

安全是為業(yè)務(wù)服務(wù)的粗蔚。

Find and Fix,? Defend and Defer,? Secure at the Source.

?待我第三次閱讀我想一定會有新的收獲尝偎，屆時我會繼續(xù)更新這篇文章。