《威胁建模:设计和交付更安全的软件》——3.6 拒绝服务威胁

最新推荐文章于 2024-08-16 15:25:31 发布
最新推荐文章于 2024-08-16 15:25:31 发布
阅读量110 收藏
点赞数
原文链接:https://yq.aliyun.com/articles/118892
版权

本节书摘来自华章计算机《威胁建模:设计和交付更安全的软件》一书中的第3章,第3.6节,作者:[美] 亚当·斯塔克 更多章节内容可以访问云栖社区“华章计算机”公众号查看。

3.6 拒绝服务威胁

拒绝服务威胁是指大量消耗服务资源,表3-6中列举了一些示例。


<a href=https://yqfile.alicdn.com/44623d4cb75992b2891485634300789ee1ed3ce5.png" >

拒绝服务攻击可以分成攻击者正在攻击(例如填满带宽)和持续攻击。除非系统重新启动(例如while(1){fork();}),甚至能越过重启(例如填满磁盘),否则持续攻击将持续保持攻击状态;拒绝服务攻击还可分成放大型和非放大型攻击。放大型攻击是凭借攻击者极小的努力便产生大的影响。一个示例就是利用UNIX的字符生成(chargen)服务,该服务的目的是为测试生成半随机字符。攻击者可以假冒一个数据包从A机器的字符生成端口发送到B机器对应端口。这种“狂欢”直到某人拉断网线才会结束。
weixin_34357962
关注
数据台的设计模式与实现——探讨数据台的由来、作用、构成、设计模式以及实践方法
AI天才研究院
07-31 2667
数据台是一种重要的业务平台模式,它能够将传统的数据仓库、数据湖等多个数据源进行集成和整合,形成统一的数据服务体系,并通过数据驱动的方式,优化公司各个业务部门之间的信息流动、数据共享和价值传递,最终实现数据的价值的最大化转化。数据台在数据处理流程、数据治理、数据应用、数据服务等方面发挥着越来越重要的作用。在企业数字化过程,如何构建一个具备高效可靠、数据一致性强、运维自动化程度高的数据台,是一个值得关注的课题。
领域驱动设计:第一部分:概念模型
AI天才研究院
09-14 2032
作者:禅与计算机程序设计艺术 1.简介 领域驱动设计(Domain-driven design,DDD)是一种基于业务需求及其核心领域知识的面向对象软件开发方法。DDD分为四个层次:业务分析、领域建模、通用语言、实现和交付。业务分析一般采用增量的方式进行,以便于不断缩小范围、明确目标和优先级。DDD方法
威胁建模 设计交付安全软件.xmind
12-09
基于《威胁建模设计交付安全软件》目录制作的思维导图,可用作威胁建模学习、安全软件开发,适用于网络安全爱好者、安全架构、软件开发人员,建议搭配图书使用
威胁建模设计交付安全软件
chengying332
06-23 1477
威胁建模设计交付安全软件》 本书通过各个生动有趣的案例,让读者知道什么是原动力、原动力的意义何在,揭示了人们只要从树立最简单的目标开始,一步一步,不断延伸,不断扩张,最终会攀上事业的高峰的道理。本书是鼓励年轻人积极进取的作品,适合大众阅读... 详细解读 和小伙伴们一起来吐槽
威胁建模设计交付安全软件》——3.4 否认威胁
weixin_34407348的博客
07-03 159
本节书摘来自华章计算机《威胁建模设计交付安全软件》一书的第3章,第3.4节,作者:[美] 亚当·斯塔克 多章节内容可以访问云栖社区“华章计算机”公众号查看。 3.4 否认威胁 否认威胁是宣称什么也没做或者对已发生的事件不负责任。对一件事,人们有可能诚实地否认,也有可能带有撒谎性地否认。要了解这个复杂世界经常需要多的知识,那些诚实的否认结果可...
威胁建模设计交付安全软件》——3.9 STRIDE变种
weixin_34336526的博客
07-03 444
本节书摘来自华章计算机《威胁建模设计交付安全软件》一书的第3章,第3.9节,作者:[美] 亚当·斯塔克 多章节内容可以访问云栖社区“华章计算机”公众号查看。 3.9 STRIDE变种 在发现威胁,STRIDE是非常有用的助记符,不过它也不是完美无缺的。在这一部分内容,你会学到STRIDE的一些变种,以期能帮助弥补其部分弱点。3.9.1 S...
威胁建模设计交付安全软件》——第1章 潜心开始威胁建模1.1 学习威胁建模...
weixin_33957648的博客
07-03 479
本节书摘来自华章计算机《威胁建模设计交付安全软件》一书的第1章,第1.1节,作者:[美] 亚当·斯塔克 多章节内容可以访问云栖社区“华章计算机”公众号查看。 第1章 潜心开始威胁建模 谁都可以学习威胁建模进一步说,每个人都应该学习威胁建模威胁建模是利用模型来发现安全问题,这意味着通过提取大量细节对安全问题进行全面检查,而不是代码本身。之...
架构设计软件建模与软件设计文档
最新发布
qq_25409421的博客
08-16 904
架构师的一系列软件架构设计是用设计文档的形式呈现的。所以,在拆解一个个案例之前,我们先来了解一些关于软件设计文档的基础知识,这样你在学习后面的具体案例时,就能加清楚并理解文档是基于什么方式来组织的了。首先,设想这样一个场景:如果公司安排你做架构师,让你在项目开发前期进行软件架构设计,你该如何开展工作呢?如何输出你的工作成果?如何确定你的设计是否满足用户需求?你是否有把握最后交付软件是满足要求的?是否有把握让团队每个工程师清楚自己的职责范围并有效地完成开发工作?
软件测试 | 期末复习——软件质量概述
m0_37714470的博客
06-18 2756
【质量和软件的概念】 1 质量(quality) ISO9001:2008 定义:质量为一组固有特性满足要求的程度。 (1)特性:可区分的特征 (2)要求:明示的、通常隐含的或必须履行的需求或期望 质量具有经济性、广义性、时效性、相对性。 产品: ISO9000:2008 解释:产品是过程的结果。 产品可以分为 4 种类别:硬件、流程性材料、软件、服务或者它们的组合。 2 影响质量的因素 人、机(设备)、物(材料)、方法、环境 3 质量目标 在质量方面所追...
Java架构师系统架构设计原则
赵广陆
10-10 500
目录 1 导语 2 单体到云上架构体系的演变过程 3 架构设计必知原则 3.1 商业目标原则 3.2 非核心则购买 3.3 简单原则 3.4 成熟可控的技术选型 3.5 一致性原则 3.6 演化原则 3.7 重用原则 3.8 分阶段交付原则 3.9 水平扩展 3.10 前瞻性的设计 3.11 高内聚低耦合原则 3.12 无状态设计 3.13 变化点分离原则 3.14 数据一致性的原则 3.15 数据冗余最小的原则 3.16 异步设计 3.17 逻辑与物理分离的原则 3.18 容灾设计 3.19 高可用
威胁建模设计交付安全软件》——2.2 集体研讨
weixin_33775582的博客
07-03 125
本节书摘来自华章计算机《威胁建模设计交付安全软件》一书的第2章,第2.2节,作者:[美] 亚当·斯塔克 多章节内容可以访问云栖社区“华章计算机”公众号查看。 2.2 集体研讨 集体研讨是列举威胁的最传统方法。召集经验丰富的专家集聚一堂,提供工作环境(白板和鸡尾酒餐巾纸都是很传统的),然后开始讨论威胁。集体研讨结果的质量与专家经验和所用时间有很...
威胁建模设计交付安全软件》——第一部分 入 门 指 南
weixin_34023863的博客
07-03 203
本节书摘来自华章计算机《威胁建模设计交付安全软件》一书的第一部分,作者:[美] 亚当·斯塔克 多章节内容可以访问云栖社区“华章计算机”公众号查看。 第一部分 Part 1 入 门 指 南 第1章 潜心开始威胁建模 第2章 威胁建模策略 本部分内容主要帮助入门读者了解威胁建模,读者无须具备威胁建模安全方面知识即可无障碍地阅读。本部分内...
威胁建模设计交付安全软件》——第二部分 发 现 威 胁
weixin_33936401的博客
07-03 140
本节书摘来自华章计算机《威胁建模设计交付安全软件》一书的第二部分,作者:[美] 亚当·斯塔克 多章节内容可以访问云栖社区“华章计算机”公众号查看。 第二部分 Part 2 发 现 威 胁 第3章 STRIDE方法 第4章 攻击树 第5章 攻击库 第6章 隐私工具 威胁建模的核心是威胁。发现威胁有多种方法,这些方法就是第二部分的主要内容。...
威胁建模设计交付安全软件》——2.5 小结
weixin_33737774的博客
07-03 193
本节书摘来自华章计算机《威胁建模设计交付安全软件》一书的第2章,第2.5节,作者:[美] 亚当·斯塔克 多章节内容可以访问云栖社区“华章计算机”公众号查看。 2.5 小结 威胁建模的方法不止一种,可以采用资产建模、攻击者建模或软件建模。“你的威胁模型是什么”和集体研讨方法,适用于安全专家,但是对没什么经验的威胁建模者来说,结构化不足。集体研讨...
威胁建模设计交付安全软件》——3.7 权限提升威胁
weixin_33841503的博客
07-03 172
本节书摘来自华章计算机《威胁建模设计交付安全软件》一书的第3章,第3.7节,作者:[美] 亚当·斯塔克 多章节内容可以访问云栖社区“华章计算机”公众号查看。 3.7 权限提升威胁 权限提升威胁就是允许某人做超出其权限的事——例如,允许普通用户作为管理员执行代码,或者允许没有任何权限的人远程运行代码。实现权限提升的两种重要途径是崩溃进程和越过权...
威胁建模设计交付安全软件》—— 导读
weixin_33962923的博客
07-03 510
https://yqfile.alicdn.com/fe532ed0ad88c1ec7cc00739f4ba569e1b5fd24d.png" > 前  言一切模型都是错误的,不过有些是有用的。——George Box(20世纪著名统计学家)在构建软件系统时,人们会遇到很多可以预见的安全威胁,对此,本书描述了一些有用的威胁模型,可以用于消除或...
威胁建模设计交付安全软件》——3.10 准出条件
weixin_34223655的博客
07-03 94
本节书摘来自华章计算机《威胁建模设计交付安全软件》一书的第3章,第3.10节,作者:[美] 亚当·斯塔克 多章节内容可以访问云栖社区“华章计算机”公众号查看。 3.10 准出条件 对于用STRIDE的方式是否完成了寻找威胁,有三种方法可以判定。最简单的方法就是看是否找到了STRIDE的每一个类型的威胁。稍微有点难的办法是确保图表每个元素都找...
威胁建模设计交付安全软件》——2.4 软件模型
weixin_33701617的博客
07-03 551
本节书摘来自华章计算机《威胁建模设计交付安全软件》一书的第2章,第2.4节,作者:[美] 亚当·斯塔克 多章节内容可以访问云栖社区“华章计算机”公众号查看。 2.4 软件模型 建立清晰的软件模型有助于寻找威胁,否则你会陷入到软件功能正确与否的细节。图表是软件建模的最佳方法。正如你在第1章学习到的内容,在白板上绘制图表是开始威胁建模非常有效的...
AWS教你如何做威胁建模
weixin_47208161的博客
08-25 1247
写在前面准备威胁建模组建虚拟团队四个阶段的结构化思考车联网威胁建模例子1、我们在做什么?为车辆登记功能创建系统模型2、会出什么问题?识别功能威胁3、我们要怎么做?确定威胁的优先级并选择环节措施4、我们做得足够好吗?评估威胁建模过程的有效性附录威胁建模模板参考资料AWS教你如何做威胁建模写在前面 最近的“AWS re:Inforce 2022”介绍了众多的安全、身份和合规的产品和服务,笔者整...
北京邮电大学:软件安全威胁建模详解与步骤
安全威胁建模是信息安全领域的核心实践,它在软件开发...安全威胁建模是一种系统性的方法,它在软件开发过程起着至关重要的作用,帮助团队识别、评估和减轻潜在的安全风险,从而构建出加健壮和安全软件产品。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值