Web 安全是建立在內核等技術的基礎上的,所以 Web 安全相對低級?
12-26
偶然看到這句話,不知大牛怎麼看。
技術的實質 = 解決問題
安全技術的產生是為了解決:"在信息系統、業務系統之上發生的安全問題!」
而安全問題很大程度是「安全漏洞」導致的。
偏向於用什麼層次的技術去發現漏洞、解決漏洞真的那麼重要了嗎?我想處於各領域(WEB安全、內核)研究人員的目標應該都是相同的吧?保護好需要保護的對象!
安全技術沒有高低之分,有時候的區分可能在於:從事安全行業的每個「個體」,能否堅持對自己所喜好的安全技術領域保持熱愛,能否把自己熱愛的領域發揮到極致。
舉兩個簡單的例子:
# 烏雲一哥 (專註SQL注入)
白帽子信息_Jannock
# 烏雲二哥(專註XSS研究)
白帽子信息_gainover
最後扯一句:電影、動漫裡面衡量豬腳牛逼不牛逼,一般都是看他們能否保護得了 「想保護的對象"!
- 什麼是安全漏洞?
當白帽子提交一個安全弱點至 WooYun.org | 自由平等開放的漏洞報告平台,且該弱點允許攻擊者危害到信息系統的完整性、可用性或保密性任意一項,我們即可認定這個弱點為安全漏洞。
這句話說得真S....B....
人是建立在單細胞基礎上的,哪個低級哪個高級?
1.水桶裝多少水取決於最短板。
2.脫離業務談安全也是耍流氓安全無大小,你會因為屁股的作用不大而不去管屁股上的傷口?(請原諒我這略微重口的例子)更何況web在未來的發展前景還是很高的。
對於WEB服務來說
內核安全做的再好 WEB安全做的不好的話一樣可以拿到root許可權
linux的root許可權是可以接觸內核的那所謂的"內核安全"有啥用
對於非WEB服務來說
WEB安全就不需要考慮 但同時也就需要做好相應服務的安全
從技術層面上來說,web安全確實差一點
這句話裡面「內核」指的到底是什麼意思,我沒看懂,頭一反應就是操作系統內核,但應該不是。
不過這句話很莫名其妙,要知道安全是個體系,注意,一定是整套體系,涵蓋客戶端、網路、應用、資料庫以及操作系統方方面面,絕不是僅僅是某一個環節的加強,這好比你在鬧市大馬路上丟一個裝滿錢的紙箱子,上面只用一把頂級防盜鎖,你覺得會有用?
這句話說的是就算用戶數據全部被人看光了,電腦機房也不會爆炸
所以web安全沒有做好也沒有太大損失
&
推薦閱讀: