自学web安全

提示：自学笔记，顺便分享给感兴趣的朋友们。

前言

小白学习记录，欢迎大神指点

一、有趣的术语解释

1、Exploit:英文意思就是利用，它在黑客眼里就是漏洞利用。有漏洞不一定就有Exploit（利用)，有Exploit就肯定有漏洞。

2、Root（根用户）:可对根目录执行读写和执行操作，具有系统中的最高权限

3、XSS攻击:通过利用网页开发时留下的漏洞，通过巧妙的方法注入恶意指令代码到网页，使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript

4、CSRF（Cross-site request forgery）:跨站请求伪造，挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法

5、pwn2own：全世界最著名、奖金最丰厚的黑客大赛，由美国五角大楼网络安全服务商、惠普旗下TippingPoint的项目组ZDI（Zero Day Initiative）主办，谷歌、微软、苹果、Adobe等互联网和软件巨头都对比赛提供支持，通过黑客攻击挑战来完善自身产品。

6、0DAY漏洞：负责应用程序的程序员或供应商所未知的软件缺陷。因为该漏洞未知,所以没有可用的补丁程序。

7、DoS（Denial of Service）:拒绝服务攻击，破坏安全的可用性。

8、Threat:可能造成危害的来源

9、Risk：可能会出现的损失

10、漏洞：系统中可能被威胁利用以造成危害的地方。

二、安全问题的本质

 安全问题的本质是信任的问题 ------摘录《白帽子讲Web安全》
 互联网安全的核心问题，是数据安全的问题------摘录《白帽子讲Web安全》

三、安全三要素（CIA）

(1)机密性（Confidentiality）:要求保护数据内容不能泄露，加密是实现机密性要求的常见手段。
(2)完整性（Integrity）:要求保护数据内容是完整、没有被篡改的。常见的保证一致性的技术手段是数字签名。
(3)可用性（Availability）:要求保护资源是“随需而得”