- 相關(guān)推薦
《Web應(yīng)用安全權(quán)威指南》讀后有感
《Web應(yīng)用安全權(quán)威指南》讀后有感
v1nc3nt
這本書前前后后讀了有一個(gè)多月,中途還有一個(gè)國慶七天小長假,所以時(shí)間說長也長。第一次加入圖靈讀者群,在大家的互相監(jiān)督下完成讀書任務(wù),感覺很奇妙。前后打卡一天沒落下,最后應(yīng)該是打卡總天數(shù)第二。
很感謝有這么一個(gè)平臺(tái),能夠監(jiān)督著我們的學(xué)習(xí)進(jìn)度,還要感謝眾多大佬的無私解答,讓我實(shí)實(shí)在在地感受到了安全圈的自由與分享精神。說了這么多,下面就談?wù)勎覍@本書的一些感受和收獲吧。
讀過圖靈的日系書,比如《圖解TCP/IP》,能感覺到日本人寫作的風(fēng)格與西方的差異。整體給人感覺很嚴(yán)謹(jǐn)很仔細(xì),有時(shí)可以說是有點(diǎn)啰嗦了。當(dāng)然,這并沒有任何的貶義。相反,這對于新手入門來說,是一大利好。新手入門往往充滿著敬畏與迷茫,如果上來就是各種大術(shù)語,高精尖的漏洞利用,往往會(huì)讓人望而生畏,失去了繼續(xù)學(xué)習(xí)的動(dòng)力。
這本權(quán)威指南總的來說還是很不錯(cuò)的,對Web漏洞這塊的講解翔實(shí)仔細(xì),分類也是比一般的書更為精細(xì),如果通篇讀下來,對Web漏洞的原理以及基本防范措施,能夠做到心中有數(shù)。
全書共分為8章,重點(diǎn)是第四章“Web應(yīng)用的各種安全隱患”,我自己讀這章也花時(shí)間最多。前面的包括搭建環(huán)境、同源策略、HTTP協(xié)議這些都比較熟悉,所以很快地瀏覽完了。關(guān)于第四章的漏洞講解,我也基本上同時(shí)參照了所給的虛擬機(jī)環(huán)境以及 Fiddler,進(jìn)行了同步的操作。
原來對 XSS SQL 注入 CSRF 這些都有過了解,但是僅限于一些簡單的構(gòu)造和利用,對前后臺(tái)交互層面的原理不得而知,閱讀完這幾章之后,有了更加深刻的認(rèn)知。當(dāng)然深知這是不夠的,以后的打算是進(jìn)一步深刻理解這些漏洞原理,通過 Kali Linux 的相關(guān)工具在實(shí)戰(zhàn)中練習(xí)這些漏洞的利用。
同時(shí)工具不能僅限于使用,還要明白其底層原理。自己也同時(shí)在學(xué)習(xí)Python,準(zhǔn)備重點(diǎn)是網(wǎng)絡(luò)編程這塊,利用好自帶的安全的庫,嘗試寫一些工具腳本。學(xué)習(xí)是一個(gè)循序漸進(jìn)的過程,讀完一本書并不僅限于學(xué)到其中的知識(shí),而是將原來一知半解的東西弄懂,并且對未來的學(xué)習(xí)路徑有了更清晰的認(rèn)知。能夠調(diào)整節(jié)奏與方向,更好地完成知識(shí)積累,并完善技術(shù)棧。
當(dāng)然,這本書也存在一些個(gè)人認(rèn)為的缺陷。書是日本作家寫的,虛擬機(jī)環(huán)境也是日文的,如今翻譯成中文版,虛擬機(jī)應(yīng)該也做相應(yīng)的調(diào)整。滿眼的日文,確實(shí)是不太友好。希望日后能夠改善,為入門者提供一個(gè)更加和諧 、友好的實(shí)戰(zhàn)環(huán)境。
以上是本人在讀罷《Web應(yīng)用安全權(quán)威指南》的一些感受,個(gè)人所感,文筆與水平有限,望各位大佬多多指教。最后,感謝圖靈教育的幫助與支持,為各位安全入門的同學(xué)提供了這么好的學(xué)習(xí)討論平臺(tái)。感恩!
【《Web應(yīng)用安全權(quán)威指南》讀后有感】相關(guān)文章:
Web Service在移動(dòng)開發(fā)中的應(yīng)用04-30
利用Lotus系統(tǒng)開發(fā)Web應(yīng)用04-27
基于語義Web的知識(shí)組織方法與應(yīng)用04-29
Web2.0及其教育應(yīng)用展望04-28
引證權(quán)威與訴諸權(quán)威謬誤辨析04-29
基于Web服務(wù)的企業(yè)應(yīng)用集成系統(tǒng)及其接口04-29
Web2.0在高校信息素質(zhì)教育中的應(yīng)用05-02