美文网首页面试宝典
安全 - 安全要素与 STRIDE 威胁

安全 - 安全要素与 STRIDE 威胁

作者: 撸帝 | 来源:发表于2019-03-03 23:43 被阅读43次

    学习完整课程请移步 互联网 Java 全栈工程师

    STRIDE 威胁

    STRIDE 威胁,代表六种安全威胁:

    • 身份假冒(Spoofing)
    • 篡改(Tampering)
    • 抵赖(Repudiation)
    • 信息泄露(Information Disclosure)
    • 拒绝服务(Denial of Service)
    • 特权提升(Elevation of Privilege)

    身份假冒(Spoofing)

    身份假冒,即伪装成某对象或某人。例如,我们通过伪造别人的 ID 进行操作

    篡改(Tampering)

    篡改,即未经授权修改数据或者代码。例如,我通过网络抓包或者某种途径修改某个请求包,而服务端没有进行进一步的防范措施,使得我篡改的请求包提交成功。

    抵赖(Repudiation)

    抵赖,即拒绝执行他人无法证实也无法反对的行为而产生抵赖。例如,我攻击了某个产品,他们并不知道是我做的,没有证据证明是我做的,我就可以进行抵赖,换句话说,我可以死不承认。

    信息泄露(Information Disclosure)

    信息泄露,即将信息暴露给未授权用户。例如,我通过某种途径获取未经加密的敏感信息,例如用户密码。

    拒绝服务(Denial of Service)

    拒绝服务,即拒绝或降低有效用户的服务级别。例如,我通过拒绝服务攻击,使得其他正常用户无法使用产品的相关服务功能。

    特权提升(Elevation of Privilege)

    特权提升,即通过非授权方式获得更高权限。例如,我试图用管理员的权限进行业务操作。

    安全要素

    为了防范上面的 STRIDE 威胁,我们需要采用一些防范措施:

    威胁 安全要素 消减技术
    身份假冒 认证 Kerberos、SSL/TLS、证书、认证码等
    篡改 完整性 访问控制列表、SSL/TLS、认证码等
    抵赖 非抵赖/审计/记录 安全审计和日志记录、数字签名、可信第三方
    信息泄露 保密 加密、访问控制列表
    拒绝服务 可用性 访问控制列表、过滤、配额、授权
    特权提升 授权 访问控制列表、角色控制、授权

    相关文章

      网友评论

        本文标题:安全 - 安全要素与 STRIDE 威胁

        本文链接:https://www.haomeiwen.com/subject/uupvuqtx.html