文章目录

  1. 1. STRIDE 威胁
    1. 1.1. 身份假冒(Spoofing)
    2. 1.2. 篡改(Tampering)
    3. 1.3. 抵赖(Repudiation)
    4. 1.4. 信息泄露(Information Disclosure)
    5. 1.5. 拒绝服务(Denial of Service)
    6. 1.6. 特权提升(Elevation of Privilege)
  2. 2. 安全要素

今天,来分享下安全要素与 STRIDE 威胁。

STRIDE 威胁

STRIDE 威胁,代表六种安全威胁:身份假冒(Spoofing)、篡改(Tampering)、抵赖(Repudiation)、信息泄露(Information Disclosure)、拒绝服务(Denial of Service)、特权提升(Elevation of Privilege)。

身份假冒(Spoofing)

身份假冒,即伪装成某对象或某人。例如,我们通过伪造别人的 ID 进行操作。

篡改(Tampering)

篡改,即未经授权修改数据或者代码。例如,我通过网络抓包或者某种途径修改某个请求包,而服务端没有进行进一步的防范措施,使得我篡改的请求包提交成功。

抵赖(Repudiation)

抵赖,即拒绝执行他人无法证实也无法反对的行为而产生抵赖。例如,我攻击了某个产品,他们并不知道是我做的,没有证据证明是我做的,我就可以进行抵赖,换句话说,我可以死不承认。

信息泄露(Information Disclosure)

信息泄露,即将信息暴露给未授权用户。例如,我通过某种途径获取未经加密的敏感信息,例如用户密码。

拒绝服务(Denial of Service)

拒绝服务,即拒绝或降低有效用户的服务级别。例如,我通过拒绝服务攻击,使得其他正常用户无法使用产品的相关服务功能。

特权提升(Elevation of Privilege)

特权提升,即通过非授权方式获得更高权限。例如,我试图用管理员的权限进行业务操作。

安全要素

为了防范上面的 STRIDE 威胁,我们需要采用一些防范措施。

威胁 安全要素 消减技术
身份假冒 认证 Kerberos、SSL/TLS、证书、认证码等
篡改 完整性 访问控制列表、SSL/TLS、认证码等
抵赖 非抵赖/审计/记录 安全审计和日志记录、数字签名、可信第三方
信息泄露 保密 加密、访问控制列表
拒绝服务 可用性 访问控制列表、过滤、配额、授权
特权提升 授权 访问控制列表、角色控制、授权
(完)

微信公众号

文章目录

  1. 1. STRIDE 威胁
    1. 1.1. 身份假冒(Spoofing)
    2. 1.2. 篡改(Tampering)
    3. 1.3. 抵赖(Repudiation)
    4. 1.4. 信息泄露(Information Disclosure)
    5. 1.5. 拒绝服务(Denial of Service)
    6. 1.6. 特权提升(Elevation of Privilege)
  2. 2. 安全要素