《Web应用安全权威指南》读后有感

时间:2019-05-28 热度:
后台-系统-系统设置-扩展变量-(内容页告位1-手机版)

  《Web应用安全权威指南》读后有感

  v1nc3nt

  这本书前前后后读了有一个多月,中途还有一个国庆七天小长假,所以时间说长也长。第一次加入图灵读者群,在大家的互相监督下完成读书任务,感觉很奇妙。前后打卡一天没落下,最后应该是打卡总天数第二。

  很感谢有这么一个平台,能够监督着我们的学习进度,还要感谢众多大佬的无私解答,让我实实在在地感受到了安全圈的自由与分享精神。说了这么多,下面就谈谈我对这本书的一些感受和收获吧。

  读过图灵的日系书,比如《图解TCP/IP》,能感觉到日本人写作的风格与西方的差异。整体给人感觉很严谨很仔细,有时可以说是有点嗦了。当然,这并没有任何的贬义。相反,这对于新手入门来说,是一大利好。新手入门往往充满着敬畏与迷茫,如果上来就是各种大术语,高精尖的漏洞利用,往往会让人望而生畏,失去了继续学习的动力。

  这本权威指南总的来说还是很不错的,对Web漏洞这块的讲解翔实仔细,分类也是比一般的书更为精细,如果通篇读下来,对Web漏洞的原理以及基本防范措施,能够做到心中有数。

  全书共分为8章,重点是第四章“Web应用的各种安全隐患”,我自己读这章也花时间最多。前面的包括搭建环境、同源策略、HTTP协议这些都比较熟悉,所以很快地浏览完了。关于第四章的漏洞讲解,我也基本上同时参照了所给的虚拟机环境以及 Fiddler,进行了同步的操作。

  原来对 XSS SQL 注入 CSRF 这些都有过了解,但是仅限于一些简单的构造和利用,对前后台交互层面的原理不得而知,阅读完这几章之后,有了更加深刻的认知。当然深知这是不够的,以后的打算是进一步深刻理解这些漏洞原理,通过 Kali Linux 的相关工具在实战中练习这些漏洞的利用。

  同时工具不能仅限于使用,还要明白其底层原理。自己也同时在学习Python,准备重点是网络编程这块,利用好自带的安全的库,尝试写一些工具脚本。学习是一个循序渐进的过程,读完一本书并不仅限于学到其中的知识,而是将原来一知半解的东西弄懂,并且对未来的学习路径有了更清晰的认知。能够调整节奏与方向,更好地完成知识积累,并完善技术栈。

  当然,这本书也存在一些个人认为的缺陷。书是日本作家写的,虚拟机环境也是日文的,如今翻译成中文版,虚拟机应该也做相应的调整。满眼的日文,确实是不太友好。希望日后能够改善,为入门者提供一个更加和谐 、友好的实战环境。

  以上是本人在读罢《Web应用安全权威指南》的一些感受,个人所感,文笔与水平有限,望各位大佬多多指教。最后,感谢图灵教育的帮助与支持,为各位安全入门的同学提供了这么好的学习讨论平台。感恩!

后台-系统-系统设置-扩展变量-(内容页告位2-手机版)
声明:本文内容来源于用户自行上传或互联网,本网站不拥有所有权,未作人工编辑处理,也不承担相关法律责任。如果您发现有涉嫌版权的内容,欢迎发送邮件至:kf@hequma.com 进行举报,并提供相关证据,一经查实,本站将立刻删除涉嫌侵权内容。

后台-系统-系统设置-扩展变量-(内容页告位3-手机版)