Web安全世界观

Posted 紫曜花

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Web安全世界观相关的知识,希望对你有一定的参考价值。

互联网本来是安全的,自从有了研究安全的人后,互联网就变得不安全了。

安全要素

  • 机密性——保护数据内容不泄露,加密是常见手段
  • 完整性——保护数据内容完整、没有被篡改,常见手段是数字签名
  • 可用性——保护资源“随需而得”
  • 可审计性
  • 不可抵赖性

安全评估

过程:

资产等级划分-->威胁分析-->风险分析-->确认解决方案

威胁分析

微软提出的 STRIDE 模型:

  • Spoofing(伪装)
  • Tampering(篡改)
  • Repudiation(抵赖)
  • InformationDisclosure(信息泄露)
  • Denial of Service(拒绝服务)
  • Elevation of Privilege(提升权限)

风险分析

DREAD模型

  • Damage Potential
  • Reproducibility
  • Exploitability
  • Affected users
  • Discoverability

每个分高、中、低三个等级,分别给3、2、1分代表权重,可以具体计算出一个威胁的风险值。

高危:12~15分 中危:8~11分 低危:0~7分

安全方案

  1. 黑名单、白名单
  2. 最小权限原则
  3. 纵深防御原则
  4. 数据与代码分离原则
  5. 不可预测性原则

拓展:

对称加密算法:DES, 3DES, AES, IDEA, SM1, SM4, RC4/5/6

非对称加密算法:SM2, RSA, ECC, DSA

Hash算法:MD2、MD4、MD5、HAVAL、SHA、SHA-1、HMAC、HMAC-MD5、HMAC-SHA1

参考:《白帽子讲Web安全》

以上是关于Web安全世界观的主要内容,如果未能解决你的问题,请参考以下文章

《白帽子讲Web安全》世界观安全

安全世界观

网络安全——客户端安全(浏览器安全XSSCSRFClickjacking)

安全客简报 | WebAssembly入门:将字节码带入Web世界

Web3.0安全领航者网安信创始人夏杰受邀出席2021世界区块链大会并将发表主题演讲

攻防世界XCTF-WEB入门全通关