白帽子講web安全筆記

黑客精神：分享，自由，免費

安全人員：一定是在一個不斷分解問題而且再對分解問題逐個解決。

安全問題：本質是信任問題。

安全過程：安全是一個持續的過程，這個過程當中沒有銀彈。

安全要素：完整性 可用性 機密性（可審計性 不可抵賴性）

安全評估：資產登記劃分 威脅分析 風險分析 確認解決方案

資產等級劃分：首先咱們要明白咱們的要保護的目標是什麼，核心的互聯網安全問題就是數據的安全，劃分資產等級也就是劃分數據重要的安全程度，經過數據的重要程度來劃分信任域。

威脅分析：咱們把形成危害的來源稱爲威脅，把可能會出現的損失成爲風險，風險一點是和損失聯繫在一塊兒的，分爲兩個階段分別是威脅建模和風險分析。

威脅模型：STRIDE(假裝 篡改 抵賴 信息泄露 拒絕服務 提高權限）

風險分析: DREAD(都分高中低三個等級) damage potential 獲取徹底驗證權限執行管理員權限

reproducibility 攻擊者能夠任意再次攻擊

exploitability 初學者短時間掌握攻擊方法

affected users 全部用戶，默認配置，關鍵用戶

discoverability 漏洞很顯眼，攻擊條件很容易得到）

優秀的安全方案特色：（secure by default）

1.可以有效解決問題

                2.用戶體驗好
                
                3.高性能
                
                4.低耦合
                
                5.易於擴展和升級
複製代碼

原則: 最小權限原則 縱深防護原則 數據代碼分離原則 不可預測性原則

總結：安全是一門樸素學問，也是一種平衡的藝術。