威脅
定義對應安全屬性
spoofing(偽裝)
冒充他人身份
認證tampering(篡改)
修改資料或**
完整性repudiation(抵賴)
否認做過的事情
不可抵賴性
information disclosure(資訊洩露)
機密資訊洩露
機密性denial of service(拒絕服務)
拒絕服務
可用性elevation of privilege(提公升許可權)
未經授權獲得許可授權
等級高(3)
中(2)
低(1)
damage potential
獲得完全驗證許可權:執行管理員操作;非法上傳檔案
洩露敏感資訊
洩露其他資訊
reproducibility
攻擊者可以隨意再次攻擊
攻擊者可以重複攻擊,但有時間限制
攻擊者很難重複攻擊
exploitability
初學者在短期內能掌握攻擊方法
熟練的攻擊者才能完成這次攻擊
漏洞利用條件非常苛刻
affected users
所用使用者,預設配置,關鍵使用者
部分使用者,非預設配置
極少數使用者,匿名使用者
discoverability
漏洞很顯眼,攻擊條件很容易獲得
在私有區域,部分人能看到,需要深入挖掘漏洞
發現該漏洞極其困難
+ risk=d+r+e+a+d
+ 高危(12-15)中危(8-11)低危(0-7)
縱深防禦原則
資料與**分離原則
不可**性原則
python 學習筆記(二十一)
coding utf8 author liwei windows平台多程序匯入multiprocessing模組 from multiprocessing import process,queue from multiprocessing import pool import os,time,ran...
Python Signal 訊號 (二十一)
常用訊號型別sigint 終止程序 中斷程序,不可通過signal.signal 捕捉 相當於ctrl c sigterm 終止程序 軟體終止訊號,可通過signal.signal 捕捉 預設訊號,當os.kill 沒有指明訊號型別時,預設的是該訊號 sigkill 終止程序 殺死程序,不可捕捉 相...
C primer 二十一 模板
模板定義以關鍵字template開始,後跟乙個模板引數列表 template parameter list 這是乙個逗號分隔的乙個或多個模板引數 template parameter 的列表,用小於號 包圍起來。模板引數列表的作用很像函式引數列表。函式引數列表定義了若干特定型別的區域性變數,但並末指...