stride 威脅
stride 威脅,代表六種安全威脅:
身份假冒(spoofing)
篡改(tampering)
抵賴(repudiation)
資訊洩露(information disclosure)
拒絕服務(denial of service)
特權提公升(elevation of privilege)
身份假冒(spoofing)
身份假冒,即偽裝成某物件或某人。例如,我們通過偽造別人的 id 進行操作
篡改(tampering)
篡改,即未經授權修改資料或者**。例如,我通過網路抓包或者某種途徑修改某個請求包,而服務端沒有進行進一步的防範措施,使得我篡改的請求包提交成功。
抵賴(repudiation)
抵賴,即拒絕執行他人無法證實也無法反對的行為而產生抵賴。例如,我攻擊了某個產品,他們並不知道是我做的,沒有證據證明是我做的,我就可以進行抵賴,換句話說,我可以死不承認。
資訊洩露(information disclosure)
資訊洩露,即將資訊暴露給未授權使用者。例如,我通過某種途徑獲取未經加密的敏感資訊,例如使用者密碼。
拒絕服務(denial of service)
拒絕服務,即拒絕或降低有效使用者的服務級別。例如,我通過拒絕服務攻擊,使得其他正常使用者無法使用產品的相關服務功能。
特權提公升(elevation of privilege)
特權提公升,即通過非授權方式獲得更高許可權。例如,我試圖用管理員的許可權進行業務操作。
安全要素
為了防範上面的 stride 威脅,我們需要採用一些防範措施:
威脅 安全要素 消減技術
身份假冒 認證 kerberos、ssl/tls、證書、認證碼等
篡改 完整性 訪問控制列表、ssl/tls、認證碼等
抵賴 非抵賴/審計/記錄 安全審計和日誌記錄、數字簽名、可信第三方
資訊洩露 保密 加密、訪問控制列表
拒絕服務 可用性 訪問控制列表、過濾、配額、授權
特權提公升 授權 訪問控制列表、角色控制、授權
STRIDE 2 安全威脅分析設計
stride威脅分析方法的核心是在資料流元素和威脅之間建立結構化的對映關係,非常適合工程化 這裡提及威脅這個概念,讓我想去年英國的安全專家花了約1.5h解釋什麼叫威脅 什麼叫漏洞,哪個吐沫星子亂濺迷人眼呀,這裡把專家的說明轉述一下 1 脆弱點 脆弱點是一種系統缺陷,可以在安全開發的各個階段引入,包括...
網路安全6大威脅 STRIDE
安全威脅分類的英文縮寫是stride,代表了六種安全威脅,分別為spoofing,tampering,repudiation,information disclosure,denial of services,and elevation of privileges.spoofing 就是偽裝,比如我...
docker安全威脅與保障
docker是一種虛擬化,可擴充套件的解決方案,現在市面上常用的虛擬化解決方案基本上都是docker,因為它占用資源更少,易於部署,並且啟動迅速。開發者可以在同樣的硬體上執行更多的service,大大節省成本。使用docker會有哪些優點呢?從2013年docker技術問世,越來越多的企業使用doc...