产品和服务越来越同质化,拼得是细节,更安全,更快速,更简便,更懂你,更能得人心!
又一本阿里系的经典著作,全面阐述安全的道与术。客户端脚本安全和服务端应用安全部分给出了大量代码实例,建议后续更新修订版增加代码行释义,便于非研发人员更好地理解内容。日常安全运营,定期执行漏洞扫描、渗透测试、代码审计是基础工作;web安全攻与防则是道高一尺魔高一丈的较量,也是时刻悬在运维人员头顶的达摩之剑,需常怀敬畏之心。
虽然很多还是看不懂,但总体上对安全领域又进一步了解了一些,一部优秀的作品。等我实践一番后再来重新咀嚼,应会有不同的收获,期待。
2020第20本书 “互联网本来是安全的,自从有了研究安全的人,就变得不安全了。” 安全的重要性只有在亲历过后才会懂得。开发者的安全编码前提建立在开发者本身的hack能力。本书虽成书于2011年,放在当下仍然有很强的参考意义。所有不可想象,终将化作寻常。所有看似寻常,终将不可想象!
就是罗列了一些常用的攻击代码,熟悉web开发的秒懂,好多都是旧的技术手段了,可以了解下。对开发人员来说其实只要做好了encode,csrf token,参数化传值 就可以避免绝大部分的漏洞了。
总结一下,这本书读起来不那么枯燥,基本上是带着问题来读的,原因是工作中遇到的一些实际问题,看了书之后有了理论支撑,对自己感兴趣的认真细读,有些直接跳过了,本书开阔了思路,整体上对安全有了认识,跨站脚本攻击:可以用输入编码,输出编码,跨站点请求伪造:采用token验证,程序注入:采用预编译处理绑定变量,点击劫持:采用禁止ifram跨域,分布式拒绝服务:代码安全,网络整体负载均衡,限制ip访问次数等。
非常好,实例很多,也很全面,作者有自己的一套东西。 前端开发可以看看前面的内容,后面的就有点过时了~
作者功力深厚,每一章都是满满的干货,从细微之处一步步引申到宏观层面,循循善诱,毫不枯燥。文章逻辑很顺畅,被作者带着思考安全的更深层次,整本书读下来收获很大,从安全知识的深度上发觉到自己的单薄,从安全架构上也有了新的认识,十分推荐这本书。
值得多翻几遍的书。这书还是用电脑看比较好,代码部分用手机实在无法看。看完这书,觉得bug越来越多了[闭嘴]
安全是涵盖特别广的领域,安全工程师也是一个对技术深度和广度都有较高要求的职业,不是管管安全设备就能称为安全工程师的。在这个阶段读这本书,还是有点不自量力了,但无论如何都不无裨益,收获颇多。
- 我的安全世界观 客户端安全 服务器应用安全 互联网公司安全运营 - 互联网公司若干年的实际工作经验, 在解决方案上有极强的可操作性 - 深入分析诸多错误的方法和误区, 对安全工作者有很好的参考价值 - 对安全开发流程与运营的介绍, 同样具有深刻的行业指导意义
这本书在当时的时代背景下应该是极好的,现在看来有些浅显了,作为入门书籍可能更合适一些
内容还可以。文笔不行。不过这个是技术书。文笔也不应该太苛刻。
这是阿里的安全负责人根据多年实践写出来的Web安全的书 主要看了其中安全理念和思路的部分,这本书塑造了我最基础的安全观。 安全不是绝对的,互联网本身是安全的,是因为有了人去找漏洞发起攻击才变得不安全,安全是相对的,建立在一定的信任假设之上。安全本质是要确立信任的那部分,对不信任的部分进行防御。 值得一看。
比较适合有一定经验的开发人员阅读,不管是小白还是老人都能得到一定的启发。不错的入门书籍。