初次来到红黑联盟就见到有活动参加,感觉不错啊~
入行时间不长,发表拙见
1、常见的Web安全漏洞有哪些?
安全漏洞可分种类是在太多,web漏洞也可分为好多种。而且漏洞都是由后台的程序或者脚本程序引起的,纯静态页面是不可能被入侵,也不会有漏洞的
平常我能接触到比较常见的漏洞是:
SQL等各种注入,引发原因就是因为各种不良好的访问控制
XSS盲打。XSS盲打推荐看看余弦的书,写的不错哦,貌似最近还有个人也出了本关于这方面的新书,还是道哥写的序,但是还没看,暂时不做其他评论
服务器的各种配置不安全之类的,服务器漏洞之类
浏览器的缓存也是一个安全隐患
其实不安全的隐患有很多,很多漏洞只是我们没有发现,只是还没公布,并不代表不存在,加油吧各位,努力学习。这只是一些我常接触类型的漏洞,还有很多其他的漏洞。像DDOS之类也可以把你网站弄瘫痪
2、如何处理某些常见但又异常复杂的编程任务,如URL解析和HTML清理?
对于这种编程任务,我通常会写好封装包,有的写好框架,到要用的时候根据实际情况进行修改.
总之就是不断的对相关内容源码进行优化,优化到能成为一个通用对象~遇到这种类似的认为就把这个封装好的对象拿出来用~
3、试读图书章节后谈谈您的感想
作者首先是给安全在互联网这个大环境下重新进行了解释,但是就像作者说的,在这个行业内,我们真的很难确定到底什么是安全?没有漏洞是安全?那用户呢?用户算不算漏洞?
作者之后给我们介绍了web应用安全的历史和现在状态下的大环境是怎样的~以及这种大环境会导致的问题,那现在大环境是怎样的?就我个人理解,我觉得现在的web大环境处于一个混乱的时期,各种层出不穷的后台语言,不同的浏览器,不同的web服务器架构,不同的协议,为了各自的利益互不相让,让整个web网络安全的管理变得非常困难,就像作者说的:“缺乏统一的格局”,有些安全机制发反而出现了不被期望的效果。
接着,书里讲到了URL,URL属于唯一资源,因特网范围内,只允许出现一条某URL,比如咱红黑联盟的URL:w1ww.2cto.com,全因特网唯一,就像IP地址一样。URL展现出的一些信息是web安全中的重要标示。作者从其结构开始详细介绍了URL,它的特性,它的解析,以及怎么才能做好URL的防御工作。
然后,就是HTTP的内容,HTTP是web核心传输机制,现在因特网基本都在使用HTTP协议,当然,现在出现了更为安全的Https。总的来说,Http就是进行数据交互的协议,让客户端和服务器端更好的进行数据传输。Http也是建立于TCP/IP协议之上的,由www提出并使用的。
看完前3章,总的说来,书里的内容由浅入深,并且理论内容居多,它不能教你怎样成为一名黑客,怎样去入侵别人的电脑,但是它在一个更高的层次,一个更宏观的范围上,带给你对于安全的新认识。值得一读,希望能获得此书。感谢版主的这次活动