其实STRIDE威胁建模很简单,只有外部实体、处理过程、存储、数据流四个元素,下图中矩形Client是外部实体,圆形PwmLauncher、PwmBusinessUtil、PwmCache是处理过程,两条线business config xml是存储元素,带箭头的线Create、Read、初始化系统业务文件是数据流:
<a href="http://s3.51cto.com/wyfs02/M01/53/68/wKioL1Rl_1bytcJnAAFA4IX7eQI115.jpg" target="_blank"></a>
这些元素分别面临着什么风险呢?
元素
S
T
R
I
D
E
外部实体
处理过程
存 储
数 据 流
再述STRIDE概念:
仿冒(S):攻击者仿冒某人或某物。外部交互方和处理过程都面临着仿冒的危险
篡改(T):未经授权修改数据
抵赖(R):有能力否认做过的事情。通常是篡改电子证据,或者电子证据不可信
信息泄露(I):敏感信息在传输、存储、处理的过程中被未授权的访问
拒绝服务(D):无法正常提供服务。造成拒绝服务的原因很多,如资源不足、系统崩溃、物理损坏等
权限提升(E):拥有了本不该有的权限。常见的场景有:从匿名访问权限提升到认证用户访问权限,或从普通用户权限提升到管理员权限
本文转自qingkechina 51CTO博客,原文链接:http://blog.51cto.com/qingkechina/1606391,如需转载请自行联系原作者
![【图解HTTP】——确保Web安全的HTTPSHTTPS小结[图]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)