阅读笔记:《白帽子讲Web安全》(第2版)——1 白帽子安全观
安全三要素(CIA)
机密性Confidentiality
-
要求数据内容不能泄露。
-
常用加密实现。
完整性Integrity
-
要求保证数据内容是完整、未被篡改的。
-
常用数字签名事项。
可用性Availability
- 要求保证数据“随需而得”,如Dos破坏的就是可用性。
安全评估实施
资产等级划分(基础)
-
明确目标是什么,要保护什么,确定客户最重要的资产是什么;
-
划分信任域和信任边界,通常根据网络逻辑来划分。
威胁建模
-
威胁(Threat):可能造成危害的来源
-
威胁建模
-
定义:通过科学的方法找出所有威胁
-
方法:头脑风暴、模型
-
-
STRIDE模型
-
Spoofing,伪装:冒充他人身份,认证 -
Tampering,篡改:修改数据或代码,完整性 -
Repudiation,抵赖:否认做过的事情,不可抵赖性 -
Information Disclosure,数据泄露:机密信息泄露,机密性 -
Denial of Service,拒绝服务:拒绝服务,可用性 -
Elevation of Privilege,提升权限:未经授权获得许可,授权
-
风险分析
-
风险(Risk):可能出现的损失
-
\(Risk\,=\,{Probability\times}Damage\,Potential\),即风险由可能性和潜在危害共同决定
-
风险衡量:DREAD模型(每个因素分为3个等级,分别赋权值)
高(3) 中(2) 低(1) Damage Potential(潜在危害) 完全控制系统;执行管理员操作;非法上传文件 泄露敏感信息 泄露其他信息 Reproducibility(可复现性) 攻击者可以随意再次攻击 可以重复攻击,但又时间限制 很难重复攻击过程 Exploitability(利用难度) 初学者短期内可以掌握攻击方法 熟练的攻击者才能完成 漏洞利用条件非常苛刻 Affected Users(影响面) 所有用户,默认配置,关键用户 部分用户,非默认配置 极少数用户,匿名用户 Discoverability(发现难度) 容易获得攻击条件 在私有区域,部分人可见,需要深入挖掘漏洞 极难被发现
设计安全方案
-
安全评估的产出物,必须具有针对性;
-
优秀安全方案特点:
-
有效解决问题
-
用户体验好
-
高性能
-
低耦合
-
易于扩展和升级
-
态势感知
-
一种实时的基于内外环境的综合研判
-
数字化是实施态势感知的关键,决定了防御系统的成败
安全方案设计原则
“默认安全”原则
-
总则,最基本和最重要的原则。可以归纳为白名单或者黑名单的思想,更多的使用白名单会使系统变得更加安全
-
专家系统:黑名单和白名单
-
白名单即只允许用户输入需要使用的内容,,基础为信任白名单配置
-
白名单并不完全安全,当白名单配置不再可信,其安全性荡然无存,如通配符*等符号尽量不要出现
-
-
最小权限原则
-
默认安全原则的另一层含义,同样是安全设计的基本原则之一
-
要求系统只授予主体必要的权限,而不要过度授权
-
“纵深防御”原则
-
全面看待问题
-
第一层含义:在不同层面、不同方面实施安全方案,避免出现疏漏,不同安全方案之间需要相互配合,构成一个整体(纵)
-
第二层含义:在解决根本问题的地方实施针对性的安全方案(深)
“数据与代码分离”原则
-
漏洞成因看问题
-
计算机的运算器很容易混淆代码和数据
-
本质上是通过一个附加机制实现分离
“随机性”原则
-
抵御攻击看问题
-
利用计算复杂性中的单向特性来设计安全系统
-
随机性能够有效的对抗基于篡改和伪造的攻击,从而提高攻击的门槛
浙公网安备 33010602011771号