Web安全--安全评估【理论学习】
2016-09-01 17:50
302 查看
本文主要来自于《白帽子将Web安全》吴翰清著。本文也主要是总结和感悟。
机密性: 保护数据类容不泄露。
完整性: 保护数据完整,未被篡改
可用性: 保护资源可用
1、资产等级划分
明确目标,愤青表姐,分清保护什么,什么可信,什么不可信。
2、威胁分析
了解危险的来源以及可能的威胁,确定风险以及可能造成的损失。
STRIDE模型
3、风险分析
微软提出模型DREAD模型
4、确认方案
优秀的安全方案特点
能够优先解决问题
用户体验好
高性能
低耦合
易于扩展与升级
读后感
在实际的工作中潜移默化地使用上述,安全威胁和风险分析,根据安全的风险情况作了实际的处理和漏洞的修复。菜鸟和老鸟的区别就是对待这些问题上,前瞻性的处理和避免了漏洞。
一、安全的目的
安全的三要素:机密性: 保护数据类容不泄露。
完整性: 保护数据完整,未被篡改
可用性: 保护资源可用
二、安全评估
安全评估的过程为以下四个:1、资产等级划分
明确目标,愤青表姐,分清保护什么,什么可信,什么不可信。
2、威胁分析
了解危险的来源以及可能的威胁,确定风险以及可能造成的损失。
STRIDE模型
威胁 | 定义 | 对应的安全属性 |
---|---|---|
Spoofing(伪装) | 冒充他人身份 | 身份认证 |
Tampering(篡改) | 修改数据和代码 | 保证完整性 |
Repudiation (抵赖) | 否认做过的事情 | 不可抵赖性 |
Information Disclosure(信息泄露) | 机密信息泄露 | 机密性 |
Denial of Service(拒绝服务) | 拒绝服务 | 可用性 |
Elevation of Provilege(提升权限) | 未经授权获取许可 | 授权 |
微软提出模型DREAD模型
等级 | 高 | 中 | 底 |
---|---|---|---|
Damage Potential (潜在损失) | 获取完全验证权限;执行管理员操作;非法上传文件 | 泄露铭感信息 | 泄露其他信息 |
Reproducibility (再现性) | 攻击者可以随意再次攻击 | 攻击者可以重复攻击,但有时间限制 | 攻击者很难重复攻击过程 |
Exploitability(可利用性) | 初学者在短期内能掌握攻击方法 | 熟练的攻击者才能完成这次攻击 | 漏洞利用条件非常的苛刻 |
Affected Users(影响用户范围) | 所有用户,默认配置,关键用户 | 部分用户,非默认配置 | 极少数用户,匿名用户 |
Discoverability(可发现性) | 漏洞显而易见,供给条件很容易获得 | 在私有区域,部分人能看到,需要深入挖掘漏洞 | 发现该漏洞极其困难 |
优秀的安全方案特点
能够优先解决问题
用户体验好
高性能
低耦合
易于扩展与升级
读后感
在实际的工作中潜移默化地使用上述,安全威胁和风险分析,根据安全的风险情况作了实际的处理和漏洞的修复。菜鸟和老鸟的区别就是对待这些问题上,前瞻性的处理和避免了漏洞。
相关文章推荐
- 学习笔记----Tomcat 的WEB 安全域
- 防范网页挂马攻击 从对WEB站点进行安全评估开始
- JSP&Servlet学习笔记(1)Web开发基础理论
- TMG学习(八),发布内网安全Web站点-桥接模式
- 安全:Web 安全学习笔记
- Web显示层技术评估 -- 1. 名词界定 2. 理论模型, 3. 数据寻址
- web安全学习笔记之-oauth简介
- Web入侵安全测试与对策学习笔记之(二)——获取目标信息之其他人留下的漏洞—样例程序的缺陷
- Web入侵安全测试与对策学习笔记(一)——总览
- 零基础如何学习 Web 安全?
- Web 应用程序安全威胁--学习笔记
- 网路游侠:最受欢迎的十大WEB应用安全评估系统
- 张百川:WEB应用安全评估平台iiScan测试
- Web入侵安全测试与对策学习笔记之(三)——攻击客户机之绕过对输入选项的限制
- 最受欢迎的十大WEB应用安全评估系统
- 学习笔记:部署趋势科技企业安全无忧版——服务器端和web控制台的安装(一)
- NET温故而知新学习系列之网站安全技术—web.config加密和解密
- 使用SSL协议保证web服务通信安全(一、基础理论篇) 推荐
- Linux学习之web服务器(1)--基于源码实现SSL的安全连接
- web安全学习笔记之-注入攻击