2015年5月10日 星期日

STRIDE, DREAD

STRIDE -用於威脅分析

威脅 定義 對應的安全屬性
Spoofing 偽裝 冒充他人身分 認證
Tampering 竄改 修改數據或代碼 完整性
Repudiation 抵賴 否認做過的事情 不可抵賴性
Information Disclosure 信息洩漏 機密信息洩漏 機密性
Denial of Service 拒絕服務 拒絕服務 可用性
Elevetion of Privilege 提升權限 未經授權獲得許可 授權

DREAD-用於風險分析

等級
Damage Potential 獲得完全驗證權限;執行管理員操作;非法上傳文件 洩漏敏感信息 洩漏其他信息
Reproducibility 攻擊者可以隨意再次攻擊 攻擊者可以重複攻擊,但有時間限制 攻擊者很難重複攻擊過程
Expoitability 初學者在短期內能掌握攻擊方法 熟練的攻擊者才能完成這次攻擊 漏洞利用條件非常苛刻
Affected users 所有用戶,默認配置,關鍵用戶 部分用戶,非默認配置 極少數用戶,匿名用戶
Discoverability 漏洞很顯眼,攻擊條件很容易獲得 在私有區域,部分人能看到,需要深入挖掘漏洞 發現該漏洞及其困難

沒有留言:

張貼留言