當前位置：網站首頁>白帽子講web安全筆記

白帽子講web安全筆記

2022-01-27 08:03:02 【白面安全猿】

黑客精神：分享，自由，免費

安全人員：必定是在一個不斷分解問題並且再對分解問題逐個解决。

安全問題：本質是信任問題。

安全過程：安全是一個持續的過程，這個過程中沒有銀彈。

安全要素：完整性可用性機密性（可審計性不可抵賴性）

安全評估：資產登記劃分威脅分析風險分析確認解决方案

資產等級劃分：首先我們要明白我們的要保護的目標是什麼，核心的互聯網安全問題就是數據的安全，劃分資產等級也就是劃分數據重要的安全程度，通過數據的重要程度來劃分信任域。

威脅分析：我們把造成危害的來源稱為威脅，把可能會出現的損失成為風險，風險一點是和損失聯系在一起的，分為兩個階段分別是威脅建模和風險分析。

威脅模型：STRIDE(偽裝篡改抵賴信息泄露拒絕服務提昇權限）

風險分析: DREAD(都分高中低三個等級) damage potential 獲取完全驗證權限執行管理員權限

reproducibility 攻擊者可以任意再次攻擊

exploitability 初學者短期掌握攻擊方法

affected users 所有用戶，默認配置，關鍵用戶

discoverability 漏洞很顯眼，攻擊條件很容易獲得）

優秀的安全方案特點：（secure by default）

1.能够有效解决問題

2.用戶體驗好

3.高性能

4.低耦合

5.易於擴展和昇級

原則: 最小權限原則縱深防禦原則數據代碼分離原則不可預測性原則

總結：安全是一門樸素學問，也是一種平衡的藝術。

版權聲明
本文為[白面安全猿]所創，轉載請帶上原文鏈接，感謝
https://cht.chowdera.com/2022/01/202201270803018066.html