stride威脅分析方法的核心是在資料流元素和威脅之間建立結構化的對映關係,非常適合工程化;這裡提及威脅這個概念,讓我想去年英國的安全專家花了約1.5h解釋什麼叫威脅、什麼叫漏洞,哪個吐沫星子亂濺迷人眼呀,這裡把專家的說明轉述一下:
1、脆弱點
脆弱點是一種系統缺陷,可以在安全開發的各個階段引入,包括需求分析、需求設計、編碼實現等階段
2、漏洞
漏洞是乙個或多個可以被利用的脆弱點,利用這些脆弱點,可能會導致系統被非法訪問、服務中斷,或者執行一些不正確的動作
3、威脅
威脅是對系統潛在的任何危險。是潛在的,有可能會發生,也有可能不發生,一旦發生就危害到系統的安全性
4、攻擊
為實現某種目標而實施的一系列動作,這裡重點強調動作(比如xss攻擊動作、記憶體溢位攻擊動作等)。如果這些動作實施成功,會對保護的資產造成損失
5、影響
是指攻擊行為得以成功實施,對目標系統帶來的後果
脆弱點、攻擊和威脅的關係是怎麼樣的呢?
攻擊者使用某種方法利用系統的安全缺陷(脆弱點)對系統進行攻擊(攻擊),從而對系統造成負面影響(影響),這麼乙個潛在的、有可能發生的事件,就是一條安全威脅(威脅)
安全 安全要素與 STRIDE 威脅
stride 威脅 stride 威脅,代表六種安全威脅 身份假冒 spoofing 篡改 tampering 抵賴 repudiation 資訊洩露 information disclosure 拒絕服務 denial of service 特權提公升 elevation of privilege...
網路安全6大威脅 STRIDE
安全威脅分類的英文縮寫是stride,代表了六種安全威脅,分別為spoofing,tampering,repudiation,information disclosure,denial of services,and elevation of privileges.spoofing 就是偽裝,比如我...
SSH協議(2) 安全威脅及解決辦法
ssh雖然是安全外殼協議,但是也不能保證絕對的安全。如果管理員安全意識不夠或者ssh服務設定不完善,還是會留下許多漏洞給攻擊者以可乘之機。1 盡量使用基於金鑰的認證方式 盡量不要使用密碼進行登入,使用口令登入尤其是弱口令很有可能被攻擊者破解。使用金鑰進行認證,客戶端提供的是證書而不是密碼,減少了破解...