當前位置:網站首頁>白帽子講web安全筆記
白帽子講web安全筆記
2022-01-27 08:03:02 【白面安全猿】
黑客精神:分享,自由,免費
安全人員:必定是在一個不斷分解問題並且再對分解問題逐個解决。
安全問題:本質是信任問題。
安全過程:安全是一個持續的過程,這個過程中沒有銀彈。
安全要素:完整性 可用性 機密性(可審計性 不可抵賴性)
安全評估:資產登記劃分 威脅分析 風險分析 確認解决方案
資產等級劃分:首先我們要明白我們的要保護的目標是什麼,核心的互聯網安全問題就是數據的安全,劃分資產等級也就是劃分數據重要的安全程度,通過數據的重要程度來劃分信任域。
威脅分析:我們把造成危害的來源稱為威脅,把可能會出現的損失成為風險,風險一點是和損失聯系在一起的,分為兩個階段分別是威脅建模和風險分析。
威脅模型:STRIDE(偽裝 篡改 抵賴 信息泄露 拒絕服務 提昇權限)
風險分析: DREAD(都分高中低三個等級) damage potential 獲取完全驗證權限執行管理員權限
reproducibility 攻擊者可以任意再次攻擊
exploitability 初學者短期掌握攻擊方法
affected users 所有用戶,默認配置,關鍵用戶
discoverability 漏洞很顯眼,攻擊條件很容易獲得)
優秀的安全方案特點:(secure by default)
1.能够有效解决問題
2.用戶體驗好
3.高性能
4.低耦合
5.易於擴展和昇級
原則: 最小權限原則 縱深防禦原則 數據代碼分離原則 不可預測性原則
總結:安全是一門樸素學問,也是一種平衡的藝術。
版權聲明
本文為[白面安全猿]所創,轉載請帶上原文鏈接,感謝
https://cht.chowdera.com/2022/01/202201270803018066.html
邊欄推薦
猜你喜歡
隨機推薦
- 【正點原子FPGA連載】 第三十五章 基於OV7725的PL以太網視頻傳輸實驗-摘自【正點原子】領航者ZYNQ之FPGA開發指南_V2.0
- Openstackan實驗之glance組件安裝與配置
- 達人評測 realme Book 增强版 Air 怎麼樣
- 運動規劃和SLAM什麼關系?
- 有效的括號
- MySQL-5.7.36安裝遇到坑之後的整理,刻入骨髓的1045
- UiPath的許可查詢、激活、遷移和導出
- 遞歸以及for循環裏async 和 await 的用法
- 大人重疾險想保終身重疾,買哪個產品最合適啊?
- 再探 redis 分布式鎖
- php使用openssl_encrypt和openssl_decrypt進行AES加密解密
- 【2021最後一波官方福利】七天玩轉Redis | 打卡還能領周邊活動開始啦
- CV in Transformer學習筆記(持續更新)
- flask入門教程(7) - 會話
- 【電子技術】什麼是循環冗餘碼CRC
- HLS編程入門
- Anconda 學習
- 多線程的實現方式
- Shell編寫格式和執行方式
- 基於kubernetes的Prometheus監控mysql
- 什麼是光纖隔離器?
- @Inherit注解與注解的繼承
- 五、OpenGL ES 三維圖形的初探
- jupyter notebook代碼提示設置
- 【BUG記錄】com.alibaba.nacos.api.exception.NacosException: Request nacos server failed
- 如果對象的引用被置為null,;垃圾回收器是否會立即釋放對象占用的內存?
- 使用Redis搭建電商秒殺系統
- 兩種方法,word文件轉換成PDF文件
- 有符號數(signed) 和 無符號數(unsigned)
- 道與術
- 少兒消費型重疾目前那個比較好一點?有沒有推薦的產品
- 猪器官又立功了!移植轉基因猪腎給腦死亡病人,23分鐘後成功產生尿液
- [機器學習算法面試題] 一.准確率Accuracy的局限性
- Flink(50):Flink之綜合練習(二)
- String類常用方法示例
- 邏輯樹分析方法:如何將複雜問題變簡單?
- 數組和鏈錶插入效率比較
- 2021年P氣瓶充裝考試及P氣瓶充裝試題及解析
- jangow靶機滲透
- Vision Transformer(Pytorch版)代碼閱讀注釋