《Software Testing》第十三章 – 安全性测试

黑客的动机!
1.Challenge/Prestige – (挑战性和威望)通常在一个社区里面有某些高手进入了某些号称安全性很高的系统里面,对于那个人的威望的树立是很有帮助的。而且这也是意见很有挑战性的事情。
2.Curiosity – (好奇)人就是这样子,你不让我看我非要看!
3.Use/Leverage – (使用和利用)利用电脑传播病毒,或者干其他坏事。
4.Vandalize – (破坏)随便删除别人的资料,或者利用肉鸡攻击其他系统。
5.Steal – (盗窃)偷取一些重要的资料,例如商业资料,客户资料~


威胁模型
1.建立团队,而且团对里面需要有一名资深的安全专家。在这个阶段主要集中在识别威胁,不是如果去解决威胁。
2.识别出有用的部分。就是那些对于黑客来说是有利用价值的部分。例如存放客户信用卡的地方~
3.建立一个概要的架构,并且识别出不同的技术,认证授权方式之间的信任边界。
4.分解程序组件,看那些组件容易被攻击,或者很有可能受到攻击
5.识别出威胁。
6.记录威胁。
7.对威胁进行评级 DREAD

A.Damage Potential – (潜在破坏)。威胁的潜在破坏,例如对硬件,财务上的破坏
B.Reproducibility – (重现能力)。这个威胁是每次都能出现呢,还是只是尝试1w次才出现一次
C.Exploitability – (可开发性)。可以危险是不是很容易就被利用了,还是需要高深的编程技巧
D.Affected Users – (受影响用户)
E.Discoverability – (容易发现性)这个威胁是不是很容易被发现,还是只有内部人员泄露才会被发现

Leave a Reply

Your email address will not be published. Required fields are marked *