08 2019 档案
摘要:HTTP协议基础 明文 无内建的机密性安全机制 嗅探或代理截断可查看全部明文信息 https只能提高传输层安全 无状态 每一次客户端和服务端的通信都是独立的过程 web应用需要跟踪客户端会话(多步通信) 不使用cookie的应用,客户端每次请求都要从新验证身份(不现实) session用于在用户身份
阅读全文
摘要:安全问题的根源 分层思想 盲人摸象 只追求功能实现 比较片面 最大的安全威胁是人 安全目标 先于攻击者发现和防止漏洞出现 攻击型安全 防护性安全 渗透测试 尝试击破安全防御机制,发现系统安全弱点; 从攻击者的角度思考,测试安全防护有效性; 证明安全问题的存在,而非破环; 道德约束 法律 渗透测试标准
阅读全文
