很喜欢道哥的《白帽子讲web安全》的这本书,书中有一句话令我记忆犹深,“互联网本来是安全的,自从有了研究安全的人之后,互联网就变得不安全了”。
起初,研究计算机系统和网络的人,被称为“Hacker”,他们对计算机有着深入的了解,因此往往能够发现其中的问题,Hacker中文译音黑客,黑客有黑白之分,白帽子是指那些精通安全技术、但是工作在反黑客领域的技术专家们,而黑帽子,则是利用黑客技术造成破坏甚至进行网络犯罪的群体。
防火墙技术的兴起改变了互联网安全的格局,以思科、华为等网络设备厂商,开始在网络产品钟开始重视网络安全,最终改变了互联网安全的走向,防火墙、ACL技术的兴起,使得直接暴露在互联网上的系统得到了保护,比如一个网站的数据可,在没有保护的情况下,数据库服务端口是允许任何人随意连接的,在有了防火墙的保护后,通过acl可以控制只允许信任来源的访问,这在很大程度上保证了系统软件处在了信任边界之内,杜绝了大部分的攻击来源。
2003年的冲击波蠕虫是一个里程碑事件,这个针对windows操作系统RPC服务(运行在445端口)的蠕虫,在很短的时间内席卷了全球,造成了数百万台机器被感染,损失难以估量。
2011年岁末之际,中国互联网卷入了一场有史以来最大的安全危机,12月21日,国内最大的开发者社区CSDN被黑客在互联网上公布了600万注册用户的数据,更糟糕的是,CSDN在数据库中明文保存了用户的密码。接下来如同一场盛大的交响乐,黑客随后陆续公布了网易、人人、天涯、猫扑、多玩等多家大型网站的数据库,一时间风声鹤唳、草木皆兵。
sql注入的出现是web安全史上的一个里程碑。
xss(跨站脚本攻击)的出现是web安全史上的另一个里程碑。
新技术一开始不在就考虑安全设计的话,防御技术就必然落后攻击技术。
