初出牛犊的站长读《白帽子讲web安全》有感
一、前言—— 一百个读者的心目中有一百个哈姆雷特
前言的作者经历,会是每个初初恋上计算机的学生碰到的事。曾记得当时候,我第一次接触病毒是在初中的科技节。当时看到一个高三的哥哥,在人家公共演示的计算机主机,插入一块3.5寸盘时,loading了一个叫豆沙包的病毒。当时候,我觉得好神奇,神奇不在于他的病毒,在于他对计算机那种熟练的操作。
放学后,我去了电脑城,那时候还是56k上网时代,要用什么软件,游戏都要用5,6元购买。到了店内,我买了三国志7的光盘游戏同时,也翻了翻有什么碟子好买,“黑客训练基地”。老板看到之后,马上跟我说,这光盘很牛B的,拉登的阿尔盖大组织也是用这个光盘训练,我不喜买了回去,放在52x的CD-ROM,见鬼了,“萨满盾”的杀毒不断的报错。于是,我做出了一身人第一次比下松老师的片子更危险的事,裸奔运行碟子。之后不说了,我电脑被“拉登攻占了。”
这段经历我想很多人,住阅读作者的前言都会有不同的回忆,正所谓“一百个读者的心目中有一百个哈姆雷特 ”。
建议大伙可以尝试先从此书的前言开始阅读。
二、命令行coding练习为了什么——解Hacker的核心目的
说起haker,在阅读此书章节时,很多人都会认为黑客帅字了得,不是样子,而是hacker用的计算机,在破解的时候“刷刷刷”的画面,简直就是帅。我也曾试过,这种快感,只是在安装软件的时候感觉到,骗小朋友,我在你的机器上“写个qq进去”,弟弟说:“哥哥你很厉害啊。”
阅读到此书提及root的时候,我恍然大悟了。什么越狱,什么root机,其实也就是黑客的核心目的,控制系统所有的话事权。
对此,我也发表一下我对这一点的一个深入见解。大牛勿喷。
我觉得作为我们这堆不是小牛的站长,对于html或者asp的熟悉下,对于root机还是有差距,不是root的能力有差距,而是root之后,你也不知道控制了最高权限之后,能做什么。所以我们应该在结合自己的开发应用的同时,若果发现系统有某些权限需要逾越,需要突破,那才是你开始黑客,开始hack工序的一个开端。
因此我建议,做我们站长,先搞好二次cms开发,搞好移动端的app开发,应用好官方的api才是王道,才是深造黑客之路下的一次内功心法锻炼。
三、黑色链下的历史长河——明“道高一次魔高一丈”
在阅读的过程中,读者叙说了前段时间,比较火热的“csdn密码门”事件,整个黑色链条早已发展很久。只是一直都是暗地里面发展,但是防御的思路永远都是等黑客先出招,这好像不太合理,但是在计算机的世界里,有一条重要的法则,一直支持着“道高一次魔高一丈”的道理。(法则如下第六节)
四、XSS抛砖引肉
XSS的发展,对于每个站长还是非常陌生的,这里章节xss,作者用了进化论的叙述,讲及xss是如何诞生,这样让大家了解到,矛盾之争下,盾好像也是常常被各式各样的矛所刺穿。
五、可惜书名起得太好了——让你不戴上黑帽的造法,先给你带上白白的光环
当你阅读此书时,作者不断在叙述如何去破解,破译,讲解一些技术可行性时,慢慢被吸引后,刹车的感觉出现了。作者写这本书是让我们都戴上白帽,并不是充满破坏性的黑帽。原来作者说了这么多的黑暗邪恶的技术,与一些操作原来都是抛砖引肉,让我们院里黑帽,走上更高尚,更华贵的白帽技术,享受白帽的那种快感。
六、哲学下参透安全性问题——没有银弹
戴上白帽之前,作者说个一条法则,支撑着“道高一次魔高一丈”的道理,这就是“没有银弹”。其实越往上游,你会发现,哲学是指导很多行业,或者说是学术的发展,安全技术也不例外。
七、房间关灯——明白hacker的艺术并不是杀鸡取卵
Hacker其实是一门艺术。试想下,你要关别人房间的灯时,你可以用弹叉把灯打烂,但是这样打草惊蛇的做法,并不是艺术。Hacker的艺术是更多的是,悄悄变成房东,打开你的门,然后按下开关,还对你说,我要关灯了,然后去你抽屉里面把钱拿走。这就是root,一个取得最高权限的方法。
八、大牛该看的章节——安全技术评价与分析
试读章节下,有说一个系统设计前,或者对现有系统的一个安全评测。这非常有条理,数学的条理性和整合性很强,这样对于一些研究数据,或者大公司使用系统时,安全系数的把握更好。
九、百度一下小知识——SSH端口
Shh端口我没曾听过,于是百度了一下相关的知识,当时一个增值阅读。
“默认情况下,ssh开放的端口服务是22. 有的时候为了安全或者个人习惯呢。 需要修改掉linux下的这个远程开放端口。”
十、安全技术营销应看的章节——安全的讲价技巧
比较安全的系统架构,就是系统默认的安全权限。这里我不用作者教大家怎么说服客户的话了,大家可以去看看他是怎么说,怎么要求的。
十一、姜太公钓鱼——懂浏览器的重要性,引猎豹360之争吗?
后面章节终于涉及,站长们的挚爱,涉及钓鱼的问题。钓鱼程序更多的是利用样式表的一些改动,结合iframe去做到。
最有趣的是让我看清楚浏览器的重要性,浏览器在运行快的同时,而且要讲究安全。如果过滤这些样式表,或者iframe,js的一些短板呢?这需要很高效的算法,这让我想起,读书的时候,无论是c语言,java语言,老师都重申字符处理是很重要的,当时觉得不以为然,觉得字符嘛,不就是读跟写,写字一样就可以了。现在,明白浏览器的角色就像跟黑客玩填字游戏一样,大家都在看互相的招式,然后一一封堵。未来2年会是猎豹浏览器与360浏览器之争吗?