當前位置:網站首頁>白帽子講web安全筆記

白帽子講web安全筆記

2022-01-27 08:03:02 白面安全猿

黑客精神:分享,自由,免費

安全人員:必定是在一個不斷分解問題並且再對分解問題逐個解决。

安全問題:本質是信任問題。

安全過程:安全是一個持續的過程,這個過程中沒有銀彈。

安全要素:完整性 可用性 機密性(可審計性 不可抵賴性)

安全評估:資產登記劃分 威脅分析 風險分析 確認解决方案

資產等級劃分:首先我們要明白我們的要保護的目標是什麼,核心的互聯網安全問題就是數據的安全,劃分資產等級也就是劃分數據重要的安全程度,通過數據的重要程度來劃分信任域。

威脅分析:我們把造成危害的來源稱為威脅,把可能會出現的損失成為風險,風險一點是和損失聯系在一起的,分為兩個階段分別是威脅建模和風險分析。

威脅模型:STRIDE(偽裝 篡改 抵賴 信息泄露 拒絕服務 提昇權限)

風險分析: DREAD(都分高中低三個等級) damage potential 獲取完全驗證權限執行管理員權限

reproducibility 攻擊者可以任意再次攻擊

exploitability 初學者短期掌握攻擊方法

affected users 所有用戶,默認配置,關鍵用戶

discoverability 漏洞很顯眼,攻擊條件很容易獲得)

優秀的安全方案特點:(secure by default)

                1.能够有效解决問題

                2.用戶體驗好
                
                3.高性能
                
                4.低耦合
                
                5.易於擴展和昇級
 

原則: 最小權限原則 縱深防禦原則 數據代碼分離原則 不可預測性原則

總結:安全是一門樸素學問,也是一種平衡的藝術。

版權聲明
本文為[白面安全猿]所創,轉載請帶上原文鏈接,感謝
https://cht.chowdera.com/2022/01/202201270803018066.html

隨機推薦