记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

教你如何避免威胁建模7大“坑”

什么是威胁建模?开放Web应用程序安全项目(OWASP)将威胁建模描述为“用于识别、量化和解决与应用程序相关的安全风险的结构化方法”。它本质上涉及在构建或部署系统时,战略性考虑的威胁,因此在应用程序生命周期的较早阶段就可以实现对预防或减轻威胁的适当控制。威胁建模让企业对最可能影响系统的各种网络威胁进行系统性识别和评价。有了这些信息,企业就可以按照一定的逻辑顺序,利用适当的对策来处理现存的威胁,并且从具有最大风险的威胁开始。威胁建模主要包括三大主要元素:· 资产:应保护哪些有价值的数据和设备· 威胁:攻击者可能对系统实施的行为· 漏洞:有哪些漏洞让攻击者对系统构成威胁事实上,威胁建模当然并非什么新概念
发布时间:2018-06-08 12:20 | 阅读:104535 | 评论:0 | 标签:Web安全 威胁建模

【软件安全设计】安全开发生命周期(SDL)

阅读: 26安全开发生命周期(SDL)是一个帮助开发人员构建更安全的软件和解决安全合规要求的同时降低开发成本的软件开发过程。 安全应用从安全设计开始,软件的安全问题很大一部分是由于不安全的设计而引入的,微软用多年的经验总结出了安全开发生命周期(SDL),并提出了攻击面最小化、STRIDE威胁建模等多种方法辅助安全人员对软件进行安全设计。安全设计对于软件安全的重要性尤为可见。文章目录一、安全开发生命周期(SDL)是什么?SDL介绍SDL安全活动二、安全设计核心原则2.1 攻击面最小化2.2 基本隐私2.3 权限最小化2.4 默认安全2.5 纵深防御 2.6 威胁建模三、STRIDE威胁建模方法3.1 STRIDE介绍3.2 威胁建模流程3.2.1 数据流图3.2.2识别威胁3.2.3 缓解措施3.2.4 安全验证
发布时间:2018-03-20 15:05 | 阅读:320856 | 评论:0 | 标签:威胁通报 SDL STRIDE 威胁建模 安全开发生命周期 安全设计原则 软件安全设计

公告

九层之台,起于累土;黑客之术,始于阅读

推广

工具

标签云

本页关键词