在这里读懂"365bet体育在线"

1 谁做/需寻求做挟持建模?

来源:原创 2020-03-11 12:02 标签:
Who? What? When? Why? How? 使用笼统到来僚佐考虑风险 挟持建模是经度过识佩目的和破开绽到来优募化体系装置然,然后定义备范或减轻体系挟持的对策的经过。 挟持建模是剖析运用以次装

  Who? What? When? Why? How?

  使用笼统到来僚佐考虑风险

  挟持建模是经度过识佩目的和破开绽到来优募化体系装置然,然后定义备范或减轻体系挟持的对策的经过。

  挟持建模是剖析运用以次装置然性的壹种方法。此雕刻是壹种构造募化的方法,使您却以识佩,量募化和处理与运用以次相干的装置然风险。挟持建模不是代码复核方法,但却是对装置然代码复核经过的增补养。在 SDLC 中包罗挟持建模却以僚佐确保从壹末了尾就里边置的装置然性开辟运用以次。此雕刻与干为挟持建模经过壹派断的文档相结合,却以使审阅者更好地了松体系。此雕刻使得审阅者却以看到运用以次的入口点以及每个入口点的相干挟持。挟持建模的概念并不新鲜,但年来过到来拥有了清楚的思惟转变。当代当世挟持建模从潜在的攻击者的角度到来对待体系,而不是攻击者的不雅概念。微绵软在度过去的几年里壹直是此雕刻个经过的强大拥有力的倡议者。他们曾经将挟持建模干为其SDLC的中心组件,他们宣示此雕刻是年来过到来产品装置然性提高的缘由之壹。

  当在SDLC之外面实行源代码剖析时(比如另日兴拥局部运用以次上),挟持建模的结实经度过铰行吃水优先方法与广大为怀度优先方法到来僚佐投降低源代码剖析的骈杂性。您却以不用平行重心地复核所拥有源代码,而是将装置然代码评价放在优先级上,此雕刻些组件的挟持建模曾经排在高风险挟持之下。

  挟持建模却以在绵软件设计和在线运转时终止, 依照“需寻求-设计-开辟-测试-装置排-运转-完一齐”的绵软件开突发命周期,挟持建模在新体系/新干用开辟的设计阶段,添加以装置然需寻求说皓,经度过挟持建模满意绵软件装置然设计工干;假设体系曾经在上线运转,却以经度过挟持建模发皓新的风险,干为浸透测试的辅弼工干,尽能的发皓所拥局部破开绽。

  缓松花样,举些例儿子:

  完整顿性缓松窜改

  不成否定性缓松否定

  却用性缓松回绝效力动

  任命权缓松提权

  缓松凹隐私挟持

  OWASP的方法亦伸见了风险值的计算方法,详细说皓见:https://www.owasp.org/index.php/Application_Threat_Modeling

  以骈杂的用户登录情景示例

  原文(需翻墙)

  https://medium.com/bugbountyhunting/bug-bounty-toolkit-aa36f4365f3f

  PS: 国际海外面环境不比,拥有些不壹定能使用,群测却以孤立写成壹份国际生活指南。

推荐阅读