本文主要来自于《白帽子将Web安全》吴翰清著。本文也主要是总结和感悟。
一、安全的目的
安全的三要素:
机密性: 保护数据类容不泄露。
完整性: 保护数据完整,未被篡改
可用性: 保护资源可用
二、安全评估
安全评估的过程为以下四个:
1、资产等级划分
明确目标,愤青表姐,分清保护什么,什么可信,什么不可信。
2、威胁分析
了解危险的来源以及可能的威胁,确定风险以及可能造成的损失。
STRIDE模型
威胁 | 定义 | 对应的安全属性 |
---|---|---|
Spoofing(伪装) | 冒充他人身份 | 身份认证 |
Tampering(篡改) | 修改数据和代码 | 保证完整性 |
Repudiation (抵赖) | 否认做过的事情 | 不可抵赖性 |
Informa |