奈北的学习日记2——攻击面最小化

最新推荐文章于 2024-09-26 20:52:03 发布
最新推荐文章于 2024-09-26 20:52:03 发布
阅读量732 收藏
点赞数
分类专栏: 安全开发 文章标签: 安全
原文链接:http://blog.nsfocus.net/sdl/
版权

攻击面最小化

攻击面是指程序任何能被用户或者其它程序所访问到的部分,这些暴露给用户的地方往往也是最可能被恶意攻击者攻击的地方。

攻击面最小化即是指尽量减少暴露恶意用户可能发现并试图利用的攻击面数量。软件产品的受攻击面是一个混合体,不仅包括代码、接口、服务,也包括对所有用户提供服务的协议。尤其是那些未被验证或者远程的用户都可以访问到的协议,安全人员在攻击面最小化时首先要对攻击面进行分析,攻击面分析就是枚举所有访问入库、接口、协议一剂可执行代码的过程,从高层次来说,攻击面分析着重于:

1.降低默认执行的代码量

2.限制可访问到代码的人员范围

3.限定可访问到代码的人员身份

4.降低代码执行所需权限

常见的攻击面分析技巧如下表:

Higher Attack SurfaceLower Attack Surface
On by defaultOff by default
Open socketClose socket
UDPTCP
Anonymous accessAuthenticated user access
Constantly onOn as needed
Internet accessibleLocal subnet accessible

攻击面最小化在微软的应用实践示例:

WindowsRPC需要认证、防火墙默认打开
iis6.0、7.0使用Network service权限运行,默认关闭.
Sql server 2005/2008xp_cmdshell存储过程默认关闭,默认不开放远程链接
VS2005/2008Web server和sql server默认仅本地访问
chooooc
关注
专栏目录
勒索软件的预防诀窍:如何减少攻击面
systemino的博客
09-02 645
SentinelOne最近发布了一份关于企业的安全报告——《了解企业中的勒索软件》,这是一份全面的企业安全指南,可帮助组织理解、计划、响应和防范这种目前普遍存在的威胁。 这篇文章就是选取了其中的部分章节,还原了一个关于如何减少攻击面的示例。 随着网络办公成为一种常态,勒索软件攻击也呈现了上升态势,事实上,勒索即服务(Raas)和其相关产业所带来的好处(低风险和丰厚回报)表明,在可预见的未来,勒索软件将继续发展,独步并变得越来越复杂。 勒索软件即服务模式是指,勒索软件编写者开发出恶意代码,并提供给其..
基于STRIDE威胁建模的安全通信问题
m0_38103658的博客
04-13 1118
基于STRIDE威胁建模的安全通信问题 本文是以美创安全实验室在深度了解STRIDE威胁建模的基础上,结合当今普遍关注的安全通信的痛点,对HTTPS这一安全通信的解决方案进行深度剖析集成而来。 0x00 前言 STRIDE是微软开发的用于威胁建模的工具,在介绍威胁建模之前,我们需要先行了解两个重要的概念:安全属性与安全设计原则。充分理解后我们将结合安全通信的具体解决方案HTTPS协议,从威胁建模的...
SDL介绍----2、SDL安全设计核心原则
七天
07-06 2283
SDL安全设计核心原则
产品安全设计十大原则
weixin_30307921的博客
01-01 1290
产品安全设计十大原则 原则1:最小化攻击面: 系统每增加一个功能特性就有可能会引入新的风险,通过安全开发可以减少攻击面进而达到控制系统整体风险的目的。 打个比方说,某在线web应用向用户提供了一个通过搜索来获取帮助的功能,如果后端代码没有正确实现该功能就有可能导致存在SQL注入漏洞,但是即便如此,我们还是有办法降低或消除风险的,比如: u 该...
攻击面是什么,如何减少攻击面
HoewDec的博客
03-31 687
在服务商和合作伙伴的助力下,企业通过定期审计、渗透测试和漏洞评估等方式,可以及时发现漏洞及不足,不断完善和优化现有的网络安全体系和机制,将企业全面的网络安全战略落在实处,增强整体防御能力,从容应对各种新兴威胁。对于各行各业的企业来说,减少受攻击面不仅仅是一个网络安全概念,更是一种安全战略,其核心是尽可能减少边缘、核心或云中可能被用于攻击系统、网络或组织的潜在漏洞和入口点,逐步提高企业预防、抵御和恢复的整体能力,从而减少恶意攻击者成功发起网络攻击的机会,进一步增强网络弹性。人们常说,“亡羊补牢,犹未为晚”。
智能车学习日记【四】————环岛
热门推荐
RoyZz_的博客
09-19 1万+
环岛从第一次写完到国赛结束之间重写了很多遍,都是在上一次的思路上修修补补,只能说图像补出来的效果还行,但代码结构就和屎山一样,所以我环岛篇就着重说一下我的补线思路(我的方法其实还有很多漏洞需要改进,仅供大家参考理解一下,欢迎各位在评论区指点出可改进之处!)我将环岛分为7个状态,如下图 环岛状态1:远处看见并判出环岛 环岛状态2:环岛直行部分 环岛状态3:拉线转入环岛 环岛状态4:环岛内转弯 环岛状态5:拉线出环 环岛状态6:直道拉线摆正 环岛状态7:拉线直行 环岛状态8:退出(可以不细分这个状态
从零开始学习C语言日记——DAY2
bearbearwww的博客
12-21 1054
记录自己的学习过程
pygame学习日记——贪吃猪(蛇)
12-21
【pygame学习日记——贪吃猪(蛇)】 这篇文章是一篇新手向的教程,介绍如何使用pygame库来实现经典的贪吃蛇小游戏。贪吃蛇游戏的核心逻辑在于蛇的头部引领整个身体移动,每次移动时,只需更新头部的位置,而蛇的...
Java学习日记2——面向对象编程
Andy24.的博客
07-25 341
Java学习日记2——面向对象编程认识 对象概念——object  在现实世界中:现实世界的一个实体  在计算机中:可以标识的存储区域 类的概念 类是具有共同属性和行为的对象集合  属性:变量  行为:方法(函数) 例如: public class person //定义person类 { int age;//类的变量——年龄 String name;//类的变量——姓名 void say() //类的方法——说话 { System.out.println("hello word !"); }
Java学习日记12——构造方法及其初始化、构造方法的执行过程
Andy24.的博客
08-02 570
Java学习日记12——构造方法及其初始化、构造方法的执行过程  关于构造方法的定义已经在前面进行了简单的阐述,如需查看原文可以点击这里这篇文章主要是讲解一下关于构造方法的具体使用细节和初始化方法。以及构造方法的执行过程。  调用父类或者本类的构造方法:点击this和super查看之前已经讲过详细的用法  1.this调用本类的构造方法  2.super调用直接父类的构造方法  3.this和super要放在第一条语句,且只能有一条  如果没有使用this和super,则编译器会自动的加上super(),即
基本攻击面管理
danpu0978的博客
04-15 923
为了攻击您的系统,窃取某些东西或进行其他令人讨厌的操作,坏蛋需要找到一种方法,通常也需要一种方法。 这就是Attack Surface Analysis的全部目的:映射进出系统的方式,从攻击者的角度查看系统,了解系统中最容易受到攻击的部分,需要重点关注测试和审查。 它是设计的一部分,也是风险管理的一部分。 攻击面分析在概念上很简单。 这就像在房子里走来走去,计数所有的门窗,然后检查它们是否...
安全攻防:缩小攻击与防御差距的4个步骤
weixin_34187862的博客
09-06 107
本文讲的是 : 安全攻防:缩小攻击与防御差距的4个步骤 , 【IT168 编译】从近期出现的数据泄密新闻中,我们看到由于企业未能抵御安全攻击,使得黑客攻击成功,并窃取了这些企业的重要数据。Target公司失去了客户的信用卡和借记卡数据,Adobe公司损失了其客户的信用卡信息以及ID和密码,易趣公司也泄漏了其客户的个人信息包括电子邮件地址和物理地址。...
网络管理:防火墙和安全组配置详解
Echo_Wish的博客
09-22 539
通过本文的介绍,您已经了解了防火墙和安全组的基本概念、配置方法以及常见的使用场景。从安装和配置防火墙,到创建和管理安全组,每一步都至关重要。希望这篇文章能帮助您更好地掌握网络管理的基本技能。如果您有任何问题或需要进一步的帮助,请随时联系我。祝您运维工作顺利!
聚铭下一代智慧安全运营中心荣获CNNVD兼容性资质证书
juminfo的博客
09-23 430
近日,聚铭网络旗下安全产品——聚铭下一代智慧安全运营中心正式通过了国家信息安全漏洞库(CNNVD)兼容性认证测试,荣获国家信息安全漏洞库兼容性资质证书。
安卓开发中,可以反射去换肤,那么我们应该也可以使用反射去串改我们的程序,作为开发者,我们如何保证我们自己的应用的安全呢?
qq_43664361的博客
09-22 467
在安卓开发中,虽然反射提供了强大的动态操作能力,包括访问和修改类、接口、字段以及方法,但这也为潜在的恶意攻击者提供了篡改程序的可能性。作为开发者,我们需要采取一系列措施来确保自己应用的安全,防止反射被用于非法目的。
数据库的全透明加密和半透明加密主要是针对数据存储安全的不同处理方式
weixin_45699851的博客
09-25 189
对于应用程序来说,它处理的是密文,而加密过程和解密过程都是由数据库系统在后台自动完成的。这种模式下,开发者几乎察觉不到加密的存在,查询和操作的速度不会受到影响,因为大部分加密操作都在内存中快速完成。当数据被插入到数据库时,它会被加密,但对于读取数据的应用程序来说,它仍然能看到明文结果。这意味着应用程序需要知道如何处理加密后的数据,比如查询前先解密,然后对解密后的数据进行操作,再加密返回给客户端。这种方式牺牲了一些便利性,但可以提供更好的性能,因为它不需要每次查询都做完整的加密解密处理。
网络编程(5)——模拟伪闭包实现连接的安全回收
最新发布
m0_63086198的博客
09-26 456
new_session通过bind绑定时,new_session的计数就会加一,所以在bind后,new_session的生命周期和新构造函数的生命周期相同,因为新生成的函数对象引用了new_session(new_session通过值传递的方式被复制构造函数使用)。,但是通过bind操作,将new_session作为数值传递给bind函数,而bind函数返回的函数对象内部引用了该new_session所以引用计数增加1,这样保证了new_session不会被释放。今天学习如何通过C11智能指针构造伪。
黎巴嫩BP机爆炸事件启示录:我国应加快供应链安全立法
09-21 1211
据报道,当地时间9月17日下午,黎巴嫩首都贝鲁特以及黎巴嫩东南部和东北部多地都发生了BP机爆炸事件。当时的统计数据显示,爆炸造成9人死亡,约2800人受伤。9月18日,死亡人数上升到11人,受伤人数超过4000。目前,整个事件仍在发酵之中,关于BP机是谁制造、谁运输、谁在其中动了手脚还在持续探索之中。这一事件也引发了人们对于供应链安全的广泛关注。供应链的任何环节,包括产品的源头、生产环节、运输过程...
"自动化专业顶岗实习日记——企业文化与安全生产体会
自动化专业顶岗实习已经进行了三天,逐渐熟悉了公司的企业文化和工作环境。公司主要从事自动化仪器仪表研制、计算机软件开发和综合保护器生产与销售。在公司的企业文化中,强调学会做人、做事、学习和创新,这让我...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值