使用“开源应用安全手册”(OSSTMM)对系统安全进行测定
一.应用安全
一.四大综合约束
1.渠道(channel):指的是攻击模式
2.向量(vector):指的是攻击发起的方向
3.索引(index):指的是在范围中得以唯一表示目标物的量化方法
4.范围(scope):是安全要进行应用的集合区域(唯一的逻辑概念)
二.安全三要素
1.可见性:决定着攻击的机会
隐形:产品的销售是业务的核心,需要将服务的功能功效展示到最大程度,同时将资产曝光程度控制在最小
2.访问:实现交互
电磁侦听(emanation)是一种攻击系统的方法
3.信任
可信平台模块(TPM)
二.应用交互控制
一.五种交互控制
1.身份验证(authentication)
战胜身份验证流程:
1.暴力(brute-force):尝试所有可能的字符组合
2.词典(dictionary):尝试所有有意义的字母组合
3.回避(circumvention):绕过身份识别或验证流程
4.污染(taint):改变识别标准,使其包含攻击代理
5.欺骗(fraud):用一个虚假身份骗过识别标准
6.劫持(hijack):窃取与所需标准匹配的其他代理身份或授权token
7.拒绝(deny):通过使用有效和无效的请求来淹没身份识别流程,在不引人注意的时候溜过
2.赔偿(indemnification)
3.抑制(subjugation)
4.连续性(continuity)
5.弹性力(resilience)
三.应用过程控制
一.五大过程控制
1.不可否认
2.加密
3.隐私
4.完整性
5.警报