其實STRIDE威脅模組化很簡單,隻有外部實體、處理過程、存儲、資料流四個元素,下圖中矩形Client是外部實體,圓形PwmLauncher、PwmBusinessUtil、PwmCache是處理過程,兩條線business config xml是存儲元素,帶箭頭的線Create、Read、初始化系統業務檔案是資料流:
<a href="http://s3.51cto.com/wyfs02/M01/53/68/wKioL1Rl_1bytcJnAAFA4IX7eQI115.jpg" target="_blank"></a>
這些元素分别面臨着什麼風險呢?
元素
S
T
R
I
D
E
外部實體
處理過程
存 儲
數 據 流
再述STRIDE概念:
仿冒(S):攻擊者仿冒某人或某物。外部互動方和處理過程都面臨着仿冒的危險
篡改(T):未經授權修改資料
抵賴(R):有能力否認做過的事情。通常是篡改電子證據,或者電子證據不可信
資訊洩露(I):敏感資訊在傳輸、存儲、處理的過程中被未授權的通路
拒絕服務(D):無法正常提供服務。造成拒絕服務的原因很多,如資源不足、系統崩潰、實體損壞等
權限提升(E):擁有了本不該有的權限。常見的場景有:從匿名通路權限提升到認證使用者通路權限,或從普通使用者權限提升到管理者權限
本文轉自qingkechina 51CTO部落格,原文連結:http://blog.51cto.com/qingkechina/1606391,如需轉載請自行聯系原作者
![【圖解HTTP】——確定Web安全的HTTPSHTTPS小結[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)