第一章 我的安全世界观
1.安全问题的本质是信任的问题。
2.安全是一个持续的过程,没有银弹。
3.安全三要素:机密性、完整性、可用性。
4.实施安全评估的过程:资产等级划分、威胁分析、风险分析、确认解决方案。
5.分析威胁可以考虑的6个方面:
威胁------------------------定义----------------对应的安全属性
5.1 Spoofing(伪装)-------------冒充他人身份--------认证。
5.2 Tampering(篡改)------------修改数据或者代码---完整性。
5.3 Repudiation(抵赖)-----------否认做过的事情-----不可抵赖性。
5.4 InformationDisclosure(信息泄漏)-----机密信息泄漏-----机密性。
5.5 Denial of Service(拒绝服务)---拒绝服务----可用性。
5.6 Elevation of Privilege(提升权限)---未经授权获得许可---授权。
6. 设计安全方案时的几种方案和原则
6.1 Secure By Default 原则(默认安全原则)
6.1.1 白名单、黑名单。
6.1.2 最小权限原则。
6.2 纵深防御原则。
6.3 数据于代码分离原则。 alert("$var1")------------------------------------alert("</script><script>alert("fdd") </script>"); 弹出结果是fdd,也许漏斗就是无处不再的吧!
6.4 不可预测性原则。