启蒙时代 ——黄金时代——黑暗时代 Hacker的初心”Open、Share、Free“ 攻击网络、操作系统、及软件等领域——攻击Web应用 分支——桌面软件安全 服务器端动态脚本——SQL注入——XSS(跨站脚本攻击)、CSRF(跨站请求伪造)等攻击 互联网安全的核心问题是数据安全的问题 我们把可能造成危险的来源称为威胁,而把可能会出现的损失称为风险 漏洞的定义:系统中可能被威胁利用以造成危害的地方 风险由一下因素组成: Risk=Probability*Damage Poteneial 白名单:设置能通过用户,白名单以外的用户不能通过 黑名单:设置不能通过的用户,黑名单以外的用户都能通过 2.最小权限原则 最小权限原则要求系统只授予主题必要的权限,而不要过度授权,这样才能有效地减少系统/网络/.应用/数据库出错的机会 需要考虑的可能有Web应用安全、OS数据安全、数据库安全、网络环境安全等 要求我们深入理解威胁的本质,必须把防御方案放到最合适的地方去解决 缓冲区溢出可以认为是程序违背了这一原则的后果-程序在栈中或堆中,将用户数据当作代码执行,混淆了代码与数据的边界,从而导致安全问题的发生 安全是一门朴素的学问,也是一种平衡的艺术,只需抓住安全的本质,无论遇到任何安全问题都会无往而不利!
文章目录
Web安全简史
中国黑客简史
黑客技术发展历程
Web安全的兴起
黑帽子、白帽子
安全的本质
安全三要素
如何实施安全评估
1、资产等级划分
2、威胁分析
威胁
定义
对应的安全属性
伪装(Spoofing)
冒充他人身份
认证
篡改(Tampering)
修改数据或代码
完整性
抵赖(Repudiation)
否认做过的事情
不可抵赖性
信息泄露(InformationDisclosure)
机密信息泄露
机密性
拒绝服务(Denial of Service)
拒绝服务
可用性
提升权限(Elcvation of Privilege)
未经授权获得许可
授权
3、风险分析
等级
高(3)
中(2)
低(1)
Damage Potential
获取完全验证权限;执行管理员操作;非法上传文件
泄露敏感信息
泄露其他信息
Reproducibility
攻击者可以随意再次攻击
攻击者可以重复攻击,但有时间限制
攻击者很难重复攻击
Exploitability
初学者在短期内能掌握攻击方法
熟练的攻击者才能完成这次攻击
漏洞利用条件非常苛刻
Affected users
所有用户,默认设置,关键用户
部分用户,非默认配置
极少数用户,匿名用户
Discoverability
漏洞很显眼,攻击条件很容易获得
在私有区域,部分人能看到,需要深入挖掘漏洞
发现该漏洞极其困难
4、确认解决方案
白帽子兵法
Secure By Default 原则
纵深防御原则(Defense in Depth)
数据与代码分离原则
不可预测性原则
小结
本网页所有视频内容由 imoviebox边看边下-网页视频下载, iurlBox网页地址收藏管理器 下载并得到。
ImovieBox网页视频下载器 下载地址: ImovieBox网页视频下载器-最新版本下载
本文章由: imapbox邮箱云存储,邮箱网盘,ImageBox 图片批量下载器,网页图片批量下载专家,网页图片批量下载器,获取到文章图片,imoviebox网页视频批量下载器,下载视频内容,为您提供.
阅读和此文章类似的: 全球云计算
官方软件产品操作指南 (170)
