白帽子讲web安全

1.前言及第一章 Web是互联网的核心，是未来云计算和移动互联网的最佳载体，因此Web安全也是互联网公司安全业务中最主要的组成部分。 安全工程师的核心竞争力不在于他能拥有多少个0day，掌握多少种安全技术，而是在于他对安全的理解深度，以及由此引申的看待安全问题的角度和高度。 对优秀与极致的追求，我们不是要做一个能够解决问题的方案，而是要做一个能够漂亮地解决问题的方案。 对现代计算机系统来说，在用户态的最高权限是Root，黑客们最渴望能够获取的系统最高权限。Script Kids在今天的网络犯罪中占据大头，另外一些黑客能够自己编写漏洞利用代码。 黑客精神，open，free，share从几年前开始就已经消失，网络犯罪带来的利益成为更大的驱动力。 从对待问题的角度来看，完成入侵需要利用各种不同漏洞的组合来达到目的，即不断组合问题。设计解决方案时，只看问题组合后的效果会让问题复杂化，难以解决根本性问题，所以白帽子是在不停地分解问题，再逐个给予解决。所以白帽子选择的方法，是克服某一类或已知所有SQL注入问题的方法。 人的参与让情境达不到理想化，同时黑客技术的进步也让防御者的压力更大。 安全的本质是信任的问题，安全检查的本质是划分信任边界从而得到信任域，数据从高等级信任域流出到低等级信任域，不需要经过检查，反之则要。 对条件的信任程度，是确定对象是否安全的基础。必须相信一些东西