白帽子讲web安全之1

从道哥的这本书开始，记录学习的点滴！

安全的评估可以分为4个阶段：
- 资产等级划分
- 威胁分析
- 风险分析 （必定和损失有联系，注意区别于威胁）
- 确认解决方案

威胁分析模型
STRIDE (进展，大步。即便有威胁，我们也一定要昂首阔步的向前走)
- spoofing 伪装 认证
- tampering 纂改 完整性
- repudiation 抵赖 不可抵赖性
- informationdisclosure 信息泄露 机密性
- denial of service 拒绝服务 可用性
- elvation of privilege 提升权限 授权

风险分析模型
DREAD模型 （恐惧）
等级 高（3） 中（2） 低（1）
-damage potential 非法上传 泄露敏感信息 泄露其他信息
-reproducibility 随意再次攻击 可再次但有时间限制 难重复
- exploitability 初学者能掌握攻击方法 熟练者 漏洞难利用
- affected users 所有 部分 少数
- discoverability 漏洞明显 私有区域 发现漏洞困难
高危 12到15分 中 8-11