白帽子讲web安全笔记
作者:互联网
黑客精神:分享,自由,免费
安全人员:必定是在一个不断分解问题并且再对分解问题逐个解决。
安全问题:本质是信任问题。
安全过程:安全是一个持续的过程,这个过程中没有银弹。
安全要素:完整性 可用性 机密性(可审计性 不可抵赖性)
安全评估:资产登记划分 威胁分析 风险分析 确认解决方案
资产等级划分:首先我们要明白我们的要保护的目标是什么,核心的互联网安全问题就是数据的安全,划分资产等级也就是划分数据重要的安全程度,通过数据的重要程度来划分信任域。
威胁分析:我们把造成危害的来源称为威胁,把可能会出现的损失成为风险,风险一点是和损失联系在一起的,分为两个阶段分别是威胁建模和风险分析。
威胁模型:STRIDE(伪装 篡改 抵赖 信息泄露 拒绝服务 提升权限)
风险分析: DREAD(都分高中低三个等级) damage potential 获取完全验证权限执行管理员权限
reproducibility 攻击者可以任意再次攻击
exploitability 初学者短期掌握攻击方法
affected users 所有用户,默认配置,关键用户
discoverability 漏洞很显眼,攻击条件很容易获得)
优秀的安全方案特点:(secure by default)
1.能够有效解决问题
2.用户体验好
3.高性能
4.低耦合
5.易于扩展和升级
原则: 最小权限原则 纵深防御原则 数据代码分离原则 不可预测性原则
总结:安全是一门朴素学问,也是一种平衡的艺术。
标签:威胁,web,帽子,原则,风险,笔记,安全,划分,权限 来源: https://blog.csdn.net/MSB_WLAQ/article/details/121379312