威胁建模和风险分析《Threat Modeling & Risk Analysis》

2019独角兽企业重金招聘Python工程师标准>>>

威胁建模:STRIDE

 

威胁	定义	对应的安全属性
Spoofing(伪装)	冒充他人身份	认证
Tampering(篡改)	修改数据或代码	完整性
Repudiation(抵赖)	否认做过的事情	不可抵赖性
Information Disclosure(信息泄露)	机密信息泄露	机密性
Denial of Service(拒绝服务)	拒绝服务	可用性
Elevation of Privilege(提升权限)	未经授权获得认可	授权

 

 

 

 

 

 

 

 

 

 

 

 

 

 

风险分析：DREAD

等级	高	中	低
Damage Potential(破坏潜力)	获取完全验证权限；执行管理员操作；非法上传文件	泄露敏感信息	泄露其他信息
Reproducibility(再现性)	攻击者可以随意再次攻击	攻击者可用重复攻击，但有时间限制	攻击者很难重复攻击过程
Exploitability（可利用性）	初学者在短期内能掌握攻击方法	熟练的攻击者才能完成这次攻击	漏洞利用条件非常苛刻
Affected Users(受影响的用户)	所有用户，默认配置，关键用户	部分用户，非默认配置	极少数用户，匿名用户
Discoverability(可发现性)	漏洞很显眼，攻击条件很容易获得	在私有区域，部分人能看到，需要深入挖掘漏洞	发现该漏洞及其困难

原文链接： http://blog.csdn.net/mypc2010/article/details/8205467

转载于:https://my.oschina.net/changpinghu/blog/92492