安全要素与 STRIDE 威胁

最新推荐文章于 2024-05-26 07:55:37 发布
最新推荐文章于 2024-05-26 07:55:37 发布
阅读量716 收藏 1
点赞数
文章标签: ui
原文链接:https://juejin.im/post/58c6a7690ce46300547ceabc
版权

原文地址:安全要素与 STRIDE 威胁
博客地址:blog.720ui.com/

STRIDE 威胁

STRIDE 威胁,代表六种安全威胁:身份假冒(Spoofing)、篡改(Tampering)、抵赖(Repudiation)、信息泄露(Information Disclosure)、拒绝服务(Denial of Service)、特权提升(Elevation of Privilege)。

身份假冒(Spoofing)

身份假冒,即伪装成某对象或某人。例如,我们通过伪造别人的 ID 进行操作。

篡改(Tampering)

篡改,即未经授权修改数据或者代码。例如,我通过网络抓包或者某种途径修改某个请求包,而服务端没有进行进一步的防范措施,使得我篡改的请求包提交成功。

抵赖(Repudiation)

抵赖,即拒绝执行他人无法证实也无法反对的行为而产生抵赖。例如,我攻击了某个产品,他们并不知道是我做的,没有证据证明是我做的,我就可以进行抵赖,换句话说,我可以死不承认。

信息泄露(Information Disclosure)

信息泄露,即将信息暴露给未授权用户。例如,我通过某种途径获取未经加密的敏感信息,例如用户密码。

拒绝服务(Denial of Service)

拒绝服务,即拒绝或降低有效用户的服务级别。例如,我通过拒绝服务攻击,使得其他正常用户无法使用产品的相关服务功能。

特权提升(Elevation of Privilege)

特权提升,即通过非授权方式获得更高权限。例如,我试图用管理员的权限进行业务操作。

安全要素

为了防范上面的 STRIDE 威胁,我们需要采用一些防范措施。

威胁安全要素消减技术
身份假冒认证Kerberos、SSL/TLS、证书、认证码等
篡改完整性访问控制列表、SSL/TLS、认证码等
抵赖非抵赖/审计/记录安全审计和日志记录、数字签名、可信第三方
信息泄露保密加密、访问控制列表
拒绝服务可用性访问控制列表、过滤、配额、授权
特权提升授权访问控制列表、角色控制、授权

(完)

更多精彩文章,尽在「服务端思维」微信公众号!

weixin_34150224
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
STRIDE威胁安全模型.xlsx
12-30
STRIDE威胁安全模型.xlsx
网络安全6大威胁--STRIDE
tryheart的博客
06-18 6252
安全威胁分类的英文缩写是STRIDE, 代表了六种安全威胁,分别为Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Services, and Elevation of Privileges. Spoofing 就是伪装,比如我用别人的ID发言就是Identity Spoofing, 我想到用变化IP的办法就是IP Spoofing. Tampering 就是篡改,比如我用别人ID发言的手段就是篡改了合法包,而他们
谈谈方法论--微软STRIDE威胁模型
莫慌的博客
02-27 1163
浅谈STRIDE方法论的在实际工作中的应用
安全设计 | 安全设计不得马虎!微软STRIDE威胁建模方法让你事半功倍,快速发现应用安全隐患!
最新发布
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
05-26 1967
威胁建模是一种有助于保护系统、应用程序、网络和服务的有效技术威胁建模使用以图形形式演示系统工作方式的数据流关系图。之后,它应用一个框架来帮助你发现和修复安全问题。它可帮助你在开发生命周期的早期确定潜在的威胁和降低风险策略。威胁建模方法由微软的安全工程和通信小组开发。与SDLC的其他部分一样,威胁建模也在不断发展,并将应用于新的环境中。当创建自己的安全代码开发流程时,这种方法可能会很好地作为基线,实际上很多公司都参照了微软的威胁建模方法制定了自己的基线。
安全威胁分类STRIDE
飞龙在天
09-29 7321
安全威胁分类的英文缩写是STRIDE, 代表了六种安全威胁,分别为Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Services, and Elevation of Privileges.
微软提出的STRIDE安全威胁建模学习小结
jackyrongvip的专栏
05-01 1万+
微软最早提出的STRIDE安全建模方法的,STRIDE的含义为: STRIDE 威胁,代表六种安全威胁:身份假冒(Spoofing)、篡改(Tampering)、抵赖(Repudiation)、信息泄露(Information Disclosure)、拒绝服务(Denial of Service)、特权提升(Elevation of Privilege)。 身份假冒(Spoofing) 身份假...
SDL介绍----3、STRIDE威胁建模方法
七天
07-06 8281
STRIDE威胁建模方法
安全测试系列一:用实例来解释安全威胁分类 (STRIDE)
weixin_30699443的博客
11-21 506
安全测试跟通常的测试工作还是有很大不同的。我认为安全测试是在技术上超越开发人员的一个主要途径。一个合格的开发人员去做测试的工作,无论是黑盒,还是白盒,手工,还是自动化,都不需要他花很多的时间就可以进入工作状态。而对于安全测试,即使一个很有经验的开发人员不经过专门的学习也很难进行有效的工作。另外,一个安全测试人员的水平一般来说应该比开发人员高才对,如果低的话,很难想象你能够容易的发现什么安全漏洞(假...
威胁建模-STRIDE.pptx
12-29
STRIDE 是一种广泛使用的威胁建模方法,全称为Spoofing(仿冒)、Tampering(篡改)、Repudiation(抵赖)、...通过深入理解和应用STRIDE,我们可以更好地保护系统免受各种威胁,确保系统的稳定性和用户数据的安全
SDL介绍-STRIDE威胁建模方法.pdf
07-01
STRIDE 威胁模型几乎可以涵盖当前绝大部分安全问题。 STRIDE 威胁建模方法的六类威胁: 1. Spooling(仿冒):攻击者伪装成合法用户或系统,以获取未经授权的访问权限。 2. Tampering(篡改):攻击者对数据或...
图论及安全威胁建模
04-30
本话题将深入探讨图论如何与WEB安全威胁建模相结合,以提高系统的安全性和可靠性。 一、图论基础 1. 图的定义:图由顶点和边组成,其中顶点代表实体,边表示顶点之间的关系。有向图和无向图是图的两种基本类型。 ...
基于STRIDE-LM的5G网络安全威胁建模研究与应用.pdf
09-19
本篇文档聚焦于5G网络安全威胁的建模研究与应用,特别基于STRIDE-LM模型进行了深入探讨。 STRIDE-LM模型是一种系统化的安全威胁建模方法,该模型将威胁分析分为六个阶段,帮助研究者和安全专家更加准确地识别潜在的...
STRIDE 威胁建模:面向安全应用程序开发的威胁分析框架
云上笛暮
05-02 1万+
STRIDE为每一种威胁英文的首写字母,​​​​​​Spoofing欺骗、Tampering篡改、Repudiation否认、Information disclosure信息泄露、Denial of Service拒绝服务、Elevation of privilege特权提升。虽然 STRIDE 威胁建模本身对组织很有用,但它也是一种更广泛意义的威胁分析方法,可为安全团队提供一个实用的框架,用于定义安全要求、创建应用程序图、识别威胁、减轻威胁、并验证威胁已得到缓解
威胁分类 STRIDE
weixin_33939843的博客
09-26 1181
威胁分类STRIDER:STRIDE是微软开发的用于威胁建模的工具,将外部威胁分为6大类,如下所示:S:spoofing,欺骗T:tampering,篡改R:repudiation,否认,拒绝承认I:information disclosure,信息泄露D:denial of services,拒绝服务E: Elevation of privieges权限提升 转...
网络安全人士必知的14个威胁建模方法
leah126的博客
01-10 2427
威胁建模是结构化的理论框架,是在网络安全前辈们基于工程实践情况下总结出的理论体系框架,从审视者和践行者的眼光去构建威胁模型,在理论框架指导下,不再茫然和手足无措,有利于识别不断变化的安全威胁。攻击树由90年代后期的信息安全传奇人物布鲁斯·施耐尔(Bruce Schneier)开创,提供了一种正式而条理清晰的方法来描述系统所面临的安全威胁和系统可能受到的多种攻击,是一种用于可视化和分析信息系统安全威胁的工具,它通过图形化的方式展示攻击者可能使用的路径来达到其攻击目标。网络安全的本质是攻防双方的对抗与博弈。
STRIDE威胁建模
dl71181的博客
09-09 1万+
一、什么是威胁建模 简单的来说,威胁建模就是通过结构化的方法,系统的识别、评估产品的安全风险和威胁,并针对这些风险、威胁制定消减措施的一个过程。 威胁建模是一个非常有用的工具,它的核心是“像攻击者一样思考”。威胁建模可以在产品设计阶段、架构评审阶段或者产品运行时开展,强迫我们站在攻击者的角度去评估产品的安全性,分析产品中每个组件是否可能被篡改、仿冒,是否可能会造成信息泄露、拒绝攻...
ASTRIDE威胁建模-精简版
muser_的博客
07-01 8520
1、概念 威胁建模可以通过结构化的方法,系统的识别、评估产品的安全风险和威胁,并针对这些风险、威胁制定消减措施的一个过程。STRIDE是微软开发的用于威胁建模的工具,或者说是一套方法论。 2、原因 (1) 站在攻击者的角度通过识别威胁,尽可能多的发现产品架构和功能设计中的安全风险 (2) 制定措施消减威胁,规避风险,确保产品的安全性 3、时机 威胁建模应融入企业的软件开发安全生命周期(SDL)中。 (1) 新产品或新功能的设计阶段应开展威胁建模,发现风险、制定消减措施,消减措施是安...
安全设计原则与Microsoft的STRIDE威胁建模
热门推荐
亿光年
09-16 2万+
很多公司都会强调程序员注意安全问题,很多程序也被要求写代码的时候必须考虑的安全问题。可能很少有程序知道安全属性是什么。更有少数人清楚怎么进行安全编码设计。前段时间闲的时候总结了,分享下 上面的图是安全设计原则,下面的是我们需要安全属性。 知道了安全属性与安全设计原则后,分
走进JavaWeb技术世界17:web安全攻防详解
Java技术江湖
03-17 3395
安全要素STRIDE 威胁 今天,来分享下安全要素STRIDE 威胁STRIDE 威胁 STRIDE 威胁,代表六种安全威胁:身份假冒(Spoofing)、篡改(Tampering)、抵赖(Repudiation)、信息泄露(Information Disclosure)、拒绝服务(Denial of Service)、特权提升(Elevation of Priv...
软件安全开发:STRIDE威胁详解与项目管理
"STRIDE威胁是软件开发安全领域中的一个重要概念,它由Spoofing(哄骗)、Tampering(篡改)、Repudiation(抵赖)、Information Disclosure(信息泄露)、Denial of Service(拒绝服务)和Elevation of Privilege...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值