白帽子讲web安全之1
来源:互联网 发布:淘宝1元换购怎么设置 编辑:程序博客网 时间:2024/04/26 08:08
从道哥的这本书开始,记录学习的点滴!
安全的评估可以分为4个阶段:
- 资产等级划分
- 威胁分析
- 风险分析 (必定和损失有联系,注意区别于威胁)
- 确认解决方案
威胁分析模型
STRIDE (进展,大步。即便有威胁,我们也一定要昂首阔步的向前走)
- spoofing 伪装 认证
- tampering 纂改 完整性
- repudiation 抵赖 不可抵赖性
- informationdisclosure 信息泄露 机密性
- denial of service 拒绝服务 可用性
- elvation of privilege 提升权限 授权
风险分析模型
DREAD模型 (恐惧)
等级 高(3) 中(2) 低(1)
-damage potential 非法上传 泄露敏感信息 泄露其他信息
-reproducibility 随意再次攻击 可再次但有时间限制 难重复
- exploitability 初学者能掌握攻击方法 熟练者 漏洞难利用
- affected users 所有 部分 少数
- discoverability 漏洞明显 私有区域 发现漏洞困难
高危 12到15分 中 8-11
0 0
- 白帽子讲web安全之1
- 白帽子讲web安全之2
- 白帽子讲web安全之3
- 白帽子讲web安全之4
- 白帽子讲web安全之5
- 白帽子讲web安全之6
- 白帽子讲web安全(1)
- 白帽子讲Web安全
- 白帽子讲Web安全
- 白帽子讲Web安全
- 白帽子讲web安全
- 白帽子讲Web安全读书笔记
- 《白帽子讲Web安全》读书笔记
- 白帽子讲Web安全 札记
- 白帽子讲web安全 读书笔记
- 读后感 《白帽子讲Web安全》
- 读书笔记/白帽子讲web安全【xss】
- 白帽子讲WEB安全笔记
- ANT不完全总结,包含各种命令,ant例子等,转自:http://lavasoft.blog.51cto.com/62575/87306
- Linux下段错误分析
- LintCode 57-三数之和
- 为什么Java byte 类型的取值范围是-128~127
- shiro-支持授权的方式有个两三种,之前没有说,但是还是需要懂点涩!
- 白帽子讲web安全之1
- Jquery Mobile笔记之一
- 两个Activity之间跳转执行的生命周期
- mysql中如何统计某字段里某个字符的个数
- 蓝桥 核桃的数量
- POJ 3532 Resistance 已翻译
- TCP/IP 写的真好
- bzoj 3892: [Usaco2014 Dec]Marathon 动态规划
- 如何选择多进程还是多线程