《白帽子讲WEB安全》————读书笔记

《数据资产管理核心技术与应用》是清华大学出版社出版的一本图书，作者为张永清等著，全书共分10章，第1章主要让读者认识数据资产，了解数据资产相关的基础概念，以及数据资产的发展情况。第2～8章主要介绍大数据时代数据资产管理所涉及的核心技术，内容包括元数据的采集与存储、数据血缘、数据质量、数据监控与告警、数据服务、数据权限与安全、数据资产管理架构等。第9～10章主要从实战的角度介绍数据资产管理技术的应用实践，包括如何对元数据进行管理以发挥出数据资产的更大潜力，以及如何对数据进行建模以挖掘出数据中更大的价值。今天主要是给大家分享一下第三章的内容：第三章的标题为数据血缘内容思维导图如下：

第2章 控制文件(Control File)控制文件在数据库mount时加载，记录了数据文件、日志文件、RMAN、SCN等信息，其作用是在数据库打开时与其他文件头部交叉校验以确保数据库物理结构的一致性。如果控制文件是旧的，那么无论数据文件是否损坏，都必须经由介质恢复的流程才能打开数据库。控制文件可以配置多个做镜像，但其中任意一个损坏时无法启动数据库，数据库正常运行时损坏其中一个一般不影响，但如果要

第5章 恢复编录(Recovery Catalog)使用恢复编录的优点：持久性能够保存比控制文件更多的备份信息，使RMAN资料库不受control_file_record_keep_time参数的限制。安全性当控制文件全部损坏后，也不影响使用RMAN进行恢复。简化丢失控制文件情况下的还原恢复操作便捷性可列出任意时间点上的表空间和数据库文件结构。创建Catalog数据库强烈建议单独准备一台数据库服务

白帽子讲web扫描 读书笔记漏洞感知漏洞分析漏洞响应漏洞沉淀纵深防御建立企业专属有效的扫描体系第一章 扫描器基础每个web漏洞都有自己的常见签名特征，可以通过对web应用发起http(s)请求的方式，通过其响应 结果进行判断。线上监控：对于已有漏洞的反复监控 线上预警：对于0Day漏洞的快速检测检测一个web漏洞主要思考两部分，即http(s)的请求，和对其响应结果的识别pyQt QtWebket

声明：    读书笔记是我在阅读过程中做的一些笔记，并在其中添加自己的思考。文章中会涉及到部分书籍原文内容，如有侵权，请联系告知并删除。    原文一切版权归本书作者所有，其他思考痕迹保留所有权。========================================第2章 浏览器安全2.1 同源策略    &

一、Secure By Default原则1、黑名单和白名单比如，在制定防火私自改变

声明：    读书笔记是我在阅读过程中做的一些笔记，并在其中添加自己的思考。文章中会涉及到部分书籍原文内容，如有侵权，请联系告知并删除。    原文一切版权归本书作者所有，其他思考痕迹保留所有权。========================================第一章 我的安全世界观     1

 白帽子讲Web安全吴翰清著ISBN 978-7-121-16072-12012年3月出版定价：69.00元16开448页宣传语：安全是互联网公司的生命，也是每一位网民的最基本需求。一位天天听到炮声的白帽子和你分享如何呵护生命，满足最基本需求。这是一本能闻到硝烟味道的书内 容 简 介在互联网时代，数据安全与个人隐私受到了前所未有的挑战，各种新奇

  攻击  如果说“hello world” 是程序员的初体验，那注入攻击可能就是破坏者的发出的第一招，探探虚实。注入攻击的本质就是将用户的输入当作代码执行，最为常见的就是“SQL注入”；使用预编译的SQL语句可以很好的防范，SQL语句的语义不会发生改变。在SQL语句中，变量用？表示，攻击者无法改变SQL的结构。在下面的例子中，即使攻击者插入类似于tom' or '1'='1的字符串，也只会将此字

7.3 正确的防御sql注入只对用户的输入做escape是不够的，黑客的注入攻击总能找到绕过黑名单过滤的方法。7.3.1 使用预编译语句防御sql注入的最佳方式，就是使用预编译语句，绑定变量。各种不同的语言中，用法各异：Java EE, use PreparedStatement().NET, use SqlCommand() or OleDbCommand()PHP, use bindParam

3.1 xss简介cross site script 本来缩写是css，为了跟网站开发中的css区分，安全领域称为xss。xss的产生原因是直接把用户的输入，输出到页面上，黑客可以输入脚本语句进行攻击。xss的分类：反射性xss，需要诱使用户点击恶意链接才能攻击成功；存储型xss，也叫持久型xss，黑客输入的数据可以存储在服务器上；DOM based xss，实际上是一种反射性xss，通过修改页面

7.1 sql注入sql注入98年第一次出现在《phrack》54期上。注入攻击有两个关键条件，第一是用户能够控制输入，第二是原本程序要执行的代码拼接了用户输入的数据。如果网站开启了错误回显，将为攻击者提供极大的便利。7.1.1 盲注“盲注”是在服务器没有错误回显时完成的攻击。最常见的盲注方法是构造简单的条件语句，根据返回页面是否发生变化，来判断sql语句是否得到执行。例如对比“id＝2”、“id

注入攻击的本质，是把用户输入的数据当代码执行。 这里有两个关键条件，第一个是用

安全是一门朴素的学问，也是一种平衡的艺术。如同开发者会遇到的挑战一样，有很多问题，不放到一个海量用户的环境下，是难以暴露出来的。由于量变引起质变，所以管理10台服务器，和管理1万台服务器的方法肯定会有所区别；同样的，评估10名工程师的代码安全，和评估1000名工程师的代码安全，方法肯定也要有所不同。安全工程师的核心竞争力不在于他能拥有多少个 0day，掌握多少种安全技术，而是在于他对安全理解的深度

前言：这本书我目前看了，百分之三十左右。这百分之三十的里面，让我印象最为深刻的是 “网络本来是安全的，因为有了研究网络的人所以不安全。” 到目前为止还有一个观点：所有的安全...

第12章 WEB框架安全12.1 MVC框架安全在Spring框架中可以使用spring security来增加系统的安全性。12.2 模板引擎与XSS防御 12.3 WEB框架与CSRF防御在MVC中防御CSRF：q  在Session中绑定token。如果不能保存到数据库中的Session，则使用Cookie.q  在form表单中自动填写token字段q&nbs

略

第18章 安全运营18.1 把安全运营起来战略：q  寻找漏洞并修补--漏洞修补q  防御快速响应--安全监控q  规范开发流程--入侵检测18.2 漏洞修补流程流程：q  建立类似Bug Tracker的漏洞跟踪机制，并为漏洞的紧急程序选择优先级q  建立漏洞分析机制，并与程序员一起制定修补方案，同时review补丁的代码实现q  对曾

CSRF防御方案:（1）在Session中绑定token。如果不能保存到服务器端Session中，则可以替代为保存到Cookie里。（2）在form表单中自动填入token字段，比如  <input type=hidden name="anti_csrf_token" value="$token" />。（3）在Ajax请求中自动添加token，这可能需要已有的Ajax封装实

第15章 web server配置安全15.1 apache安全在linux部署安装web Server时候一定主要要使用“最小权限原则”。尽量不要使用root部署。15.2 nginx安全Nginx 安全配置指南技术手册 PDF 下载免费下载地址在http://linux.linuxidc.com/用户名与密码都是www.linuxidc.com具体下载目录在 /pub/服务器相关教程/Ngin

服务器与PC系统软件之不同对于中关村在线的网友来说，PC系统应该都不陌生，而且分分钟重装的水准。但在笔者过往的服务器装机经验中，可谓是一部千年血泪史。服务器和PC系统差别还是很大的。现在的PC系统多是windows7和windows10，而在服务器中主要的操作系统有两种：windows server和Linux。Windows与Linux有完全不同的发展路径，Linux定位于一个纯净的开源的操作系

在Android开发中如果用eclipse开发的话，在配置的时候会有一个选项，Is library一直没有研究明白，经过上网查找，有人归纳了用法，归纳的很好作为保留。解决了我多个项目共享资源的好方法。 第一种：用eclipse开发的话，在工程右击-properties-Android最下面，有个Is library，选择后-apply确定，就是将此工程公开可以给别的工程使用，比如别的工程

主要包括：缓存(图片缓存、预取缓存、网络缓存)、公共View(下拉及底部加载更多ListView、底部加载更多ScrollView、滑动一页Gallery)及Android常用工具类(网络、下载、Android资源操作、shell、文件、Json、随机数、Collection等等)。 示例源码：TrineaAndroidDemo。 使     &n

创建Flex Project工程       本文采用Flex和Java 放置在同一工程中的方式，根据向导提示创建工程，没有什么复杂的，稍微留心就可以，尤其是Flash Builder4.5，已经消除了之前设置某些参数无效的bug。       1. 工程基本信息，其中FlexS

消息投递语义（Message delivery semantics）有如下几种可能的消息传递保障：1、At most once：消息可能丢失，但是不会重复。2、At least once：消息不会丢失，但是可能重复。系统保证每条消息至少会发送一次，但在有故障的情况下可能会导致重复发送。3、Exactly once：仅仅一次—这种是人们实际想要的，每条消息只会而且仅会发送一次。这里需要拆开为两个问题