近来看<The.Web.Application.Hackers.Handbook>的中文版,然后里面所写的对于很多人来说,没什么新的
技术可以学习.但是里面有些细节理念还是很值得学习的,如P265里的提到的一个"错误观点":

[------引用开始------]
"我们不必担心低风险的xss漏洞;用户只能利用它攻击他们自己." 如上所述,在适当的情况下,即使是明显
低风险的漏洞,也会为更具破坏性的攻击打下基础,实施深层安全防御必须删除每一个已知的漏洞,无论它多
么无关紧要.在想出办法利用细微漏洞方面,渗透测试员应该始终假定攻击者比自己更富有想象力.
[------引用结束------]

"渗透测试员应该始终假定攻击者比自己更富有想象力",这个很经典,很多人都不太理解这个.........

且不说完全不懂安全的程序员或者管理者,就连那些职业的安全专家们也不理解.如近年来出现一个词语:
"黑客实用主义者" 他们bs那些'低风险'的漏洞或者攻击方式,认为那些都只是YY...

其实我想说他们认为的"实用"都是站在今天的位置或者说技术知识水平上的.中国有句老话:天外有天,人
外有人. 黑客外面有黑客...

[以上提到的请不要随便对号入坐,只是个人一点点观点]

update: http://bbs.pediy.com/showthread.php?t=98421 还是看雪的气氛比较好 呵呵.