第一次讀白帽子總結

1.如果我可以一直堅持在這條道路上，我希望自己可以年輕，有活力，充滿激情，秉承曾經的精神！
2.PHP語言至今仍然只能依靠較好的代碼規範來保證沒有文件包含漏洞，而無法從語言本身杜絕安全問題的發生
3.SQL（注入攻擊）
4.XSS（跨站腳本攻擊）
5.安全問題的本質是信任問題
6.安全三要素：（1）機密性，數據內容不能泄露（2）完整性，數據內容沒有被篡改（3）可用性
7.威脅：可能造成危害的來源；風險：可能出現的損失。
8.安全評估過程分爲四個階段：資產等級劃分，威脅分析，風險分析，確認解決方案
9.威脅建模可以系統的找到威脅，做到儘量不遺漏
　微軟提出過ＳＴＲＩＤＥ的模型：
　
10.風險評估：
　微軟DREAD模型：
11.Secure By Default(白名單，黑名單，最小權限原則) 12.Defense in Depth（縱深防禦） 13.數據與代碼分離原則（防注入） 　緩衝區溢出就是程序在棧或者堆中把數據和代碼混淆了導致的安全問題。 14.不可預測性原則：從克服攻擊方法的角度看問題 　例如微軟使用DEP讓堆棧不可執行，使用ASLR讓進程的棧基址隨機變化 15.