白帽子講web安全筆記

黑客精神:分享,自由,免費安全

安全人員:一定是在一個不斷分解問題而且再對分解問題逐個解決。性能

安全問題:本質是信任問題。spa

安全過程:安全是一個持續的過程,這個過程當中沒有銀彈。code

安全要素:完整性 可用性 機密性(可審計性 不可抵賴性)ci

安全評估:資產登記劃分 威脅分析 風險分析 確認解決方案it

資產等級劃分:首先咱們要明白咱們的要保護的目標是什麼,核心的互聯網安全問題就是數據的安全,劃分資產等級也就是劃分數據重要的安全程度,經過數據的重要程度來劃分信任域。class

威脅分析:咱們把形成危害的來源稱爲威脅,把可能會出現的損失成爲風險,風險一點是和損失聯繫在一塊兒的,分爲兩個階段分別是威脅建模和風險分析。用戶體驗

威脅模型:STRIDE(假裝 篡改 抵賴 信息泄露 拒絕服務 提高權限)擴展

風險分析: DREAD(都分高中低三個等級) damage potential 獲取徹底驗證權限執行管理員權限配置

reproducibility 攻擊者能夠任意再次攻擊

exploitability 初學者短時間掌握攻擊方法

affected users 全部用戶,默認配置,關鍵用戶

discoverability 漏洞很顯眼,攻擊條件很容易得到)

優秀的安全方案特色:(secure by default)

1.可以有效解決問題

                2.用戶體驗好
                
                3.高性能
                
                4.低耦合
                
                5.易於擴展和升級
複製代碼

原則: 最小權限原則 縱深防護原則 數據代碼分離原則 不可預測性原則

總結:安全是一門樸素學問,也是一種平衡的藝術。

相關文章
相關標籤/搜索