白帽子讲Web安全 -- 第一章 我的安全世界观

第一章 我的安全世界观

---

• 黑帽子：利用黑客技术造成破坏，甚至进行网络犯罪的群体

• 白帽子：精通安全技术，工作在反黑客领域的专家

• 安全问题的本质是信任的问题

• 安全是一个持续的过程

• 安全三要素： 机密性（Confidentiality）、完整性（Integrity）、可用性（Availabity）。

  机密性：要求保护数据内容不能泄露，加密是实现机密性要求的常见手段

  完整性：要求保护数据内容是完整、没有被篡改的。常见的保证一致性的技术手段是数字签名

  可用性：要求保护资源随需可得

• 如何实施安全评估：

  资产登记划分：

  威胁分析：把所有的威胁都找出来

  STRIDE模型：

威胁	定义	对应的安全属性
Spoofing（伪装）	冒充他人身份	认证
Tampering（篡改）	修改数据或代码	完整性
Repudiation（抵赖）	否认做过的事情	不可抵赖性
InformationDisclosure（信息泄露）	机密信息泄露	机密性
Denial of Service(拒绝服务)	拒绝服务	可用性
Elevation of Privilege(提升权限)	未经授权获得许可	授权

• 风险分析：

• 设计安全方案：一个优秀的安全方案应该具备以下特点：

• 能够有效解决问题

• 用户体验好

• 高性能

• 低耦合

• 易于扩展和升级

• 白帽子兵法

  • Secure By Default原则：白名单，黑名单