即刻#每日一书#
7.26 Web漏洞防护
Web漏洞防护
这本书购入于2019年6月,应该算是首版。 此书主要是以OWASP Top 10 2017 漏洞为基础,介绍常见的漏洞防护措施。
内容包括注入防护,认证防护,数据泄露防护,XXE防护,访问控制防护,XSS防护,反序列化方法,组件缺陷检测,跨站请求伪造防护和WAF防护。
在讲解的过程中,首先会对漏洞进行介绍,然后就是常见的攻击手段,最后才是怎么来修复和防御。
总的来说,对于开发工程师来说,可以算是一个简单的入门教程。语言主要是以Java为主。对于,安全工程师,这本书不够用。当然这本书也介绍了很多工具,感觉是作者在工作过程中的一些经验积累。
不知攻,焉知防,我觉得这句话是正常的。 很多安全公司出的防护产品出了很多漏洞,你知道为什么么? 安全公司有那么多的黑客大神,可以挖掘很多漏洞,但是自家开发工程师的安全观念却很淡薄,导致自家产品漏洞百出,这就是安全意识的问题。
那你觉得,为什么黑客们不喜欢挖自家产品的漏洞呢?这种现象应该怎么来改善呢。
这本书对于安全工程师,不推荐。
7.26 Web漏洞防护
Web漏洞防护
这本书购入于2019年6月,应该算是首版。 此书主要是以OWASP Top 10 2017 漏洞为基础,介绍常见的漏洞防护措施。
内容包括注入防护,认证防护,数据泄露防护,XXE防护,访问控制防护,XSS防护,反序列化方法,组件缺陷检测,跨站请求伪造防护和WAF防护。
在讲解的过程中,首先会对漏洞进行介绍,然后就是常见的攻击手段,最后才是怎么来修复和防御。
总的来说,对于开发工程师来说,可以算是一个简单的入门教程。语言主要是以Java为主。对于,安全工程师,这本书不够用。当然这本书也介绍了很多工具,感觉是作者在工作过程中的一些经验积累。
不知攻,焉知防,我觉得这句话是正常的。 很多安全公司出的防护产品出了很多漏洞,你知道为什么么? 安全公司有那么多的黑客大神,可以挖掘很多漏洞,但是自家开发工程师的安全观念却很淡薄,导致自家产品漏洞百出,这就是安全意识的问题。
那你觉得,为什么黑客们不喜欢挖自家产品的漏洞呢?这种现象应该怎么来改善呢。
这本书对于安全工程师,不推荐。