事实上，我在读这本书的时候，自身对于安全的一些基础概念理解的并不是很好。现在看完之后，有一个比较清楚的概念，拿出来和大家分享。

下面就随手写写，看完这本书，我自身补充的几个不太理解的概念性的东西。

1、谷歌浏览器的沙盒模式。

根据这本书的描述，谷歌浏览器是第一个采取多进程架构的浏览器，主要进程分为：浏览器进程、渲染进程、插件进程、扩展进程。

而沙盒模式则是将进程分离开来，对于浏览器来说，采用的Sandbox技术是可以提高用户的安全性，让不受信任的网页代码，Javascript代码运行在一个受限制的环境当中，而从而使得本地用户不受感染。

2、XSS的分类。

（1）反射性XSS，本意就是反射，即反射给浏览器用户，也叫非持久型XSS。

（2）存储型XSS，简单理解为存储在服务器端的XSS。又叫持久性XSS。

简单举例就是，在一个留言板，对用户的留言没有进行严格的过滤，那么就会导致用户输入的<script>alert(/xss/)</script>存储至服务器，造成对后面来访的用户进行一次XSS攻击。

（3）、DOM Based XSS，即通过修改页面DOM节点形成的XSS。

未完(待续)

2012.8.18续上文

本着对读者负责的态度，我又再一次对文章进行撰写，毕竟很多人通过搜索引擎过来看到这篇文章。

其实刺总的东西太多了，一篇文章根本总结不完，我也不好意思拿自己一些错误的理解进行分享。

但是我愿意拿出手头上仅有的白帽子讲web安全的pdf文档拿出来给大家下载！当然，看完之后你有想法也可以给我留言~

毕竟想法不一样，我也渴望与你探讨此书中的一些技术。

下载提供：白帽子讲web安全.pdf

今天起来看微博，都在讨论对于信息安全事故的一些探讨。

事件引发:dedecms内容管理系统被植入一句话后门，织梦官方否定了乌云对其cms的漏洞报告，并且偷偷的修复了漏洞；

本人不才，不是什么大牛，在这里和大家分享一下自己的思路和想法。

安全研究人员:@QzqZQZqz说:

看见最近圈里大家在说漏洞有偿无偿且和道德挂钩讨论，想起某朋友几年前在一安全大会说过咱和国外的安全研究人员没法比，老外衣食住无忧，安全研究挖个漏洞纯粹是兴趣爱好外加成就感，现在看老外的调调好像也没到衣食无忧的境界。安全漏洞是有绝对经济价值的，与道德无关，很多人就是无知。

对于这点，其实国内没办法和国外相提并论，国外提倡自由，很多东西，不是国内能匹敌。而且拿国外的安全人员和国内的比，也没有可比的意义。

对于技术来说，国内与国外完全是两个阶层：在这里打住（本人没有任何看不起国内安全研究人员的意思，还是那句话，清晰的目标很重要）。

在国外，更多的安全研究人员是注重漏洞发掘，而不是对漏洞拥有的一种炫耀。在国内，更多的hacker是对技术一种崇拜，真正做到淡泊名利，一心研究技术的人，可以说是很少。 继续阅读 →