白帽子讲web安全笔记

黑客精神:分享,自由,免费

安全人员:必定是在一个不断分解问题并且再对分解问题逐个解决。

安全问题:本质是信任问题。

安全过程:安全是一个持续的过程,这个过程中没有银弹。

安全要素:完整性 可用性 机密性(可审计性 不可抵赖性)

安全评估:资产登记划分 威胁分析 风险分析 确认解决方案

资产等级划分:首先我们要明白我们的要保护的目标是什么,核心的互联网安全问题就是数据的安全,划分资产等级也就是划分数据重要的安全程度,通过数据的重要程度来划分信任域。

威胁分析:我们把造成危害的来源称为威胁,把可能会出现的损失成为风险,风险一点是和损失联系在一起的,分为两个阶段分别是威胁建模和风险分析。

威胁模型:STRIDE(伪装 篡改 抵赖 信息泄露 拒绝服务 提升权限)

风险分析: DREAD(都分高中低三个等级) damage potential 获取完全验证权限执行管理员权限

reproducibility 攻击者可以任意再次攻击

exploitability 初学者短期掌握攻击方法

affected users 所有用户,默认配置,关键用户

discoverability 漏洞很显眼,攻击条件很容易获得)

优秀的安全方案特点:(secure by default)

                1.能够有效解决问题

                2.用户体验好
                
                3.高性能
                
                4.低耦合
                
                5.易于扩展和升级
复制代码

原则: 最小权限原则 纵深防御原则 数据代码分离原则 不可预测性原则

总结:安全是一门朴素学问,也是一种平衡的艺术。

转载于:https://juejin.im/post/5c887389f265da2db66e16ef

你可能感兴趣的:(web安全)