STRIDE -用於威脅分析
威脅 | 定義 | 對應的安全屬性 |
Spoofing 偽裝 | 冒充他人身分 | 認證 |
Tampering 竄改 | 修改數據或代碼 | 完整性 |
Repudiation 抵賴 | 否認做過的事情 | 不可抵賴性 |
Information Disclosure 信息洩漏 | 機密信息洩漏 | 機密性 |
Denial of Service 拒絕服務 | 拒絕服務 | 可用性 |
Elevetion of Privilege 提升權限 | 未經授權獲得許可 | 授權 |
DREAD-用於風險分析
等級 | 高 | 中 | 低 |
Damage Potential | 獲得完全驗證權限;執行管理員操作;非法上傳文件 | 洩漏敏感信息 | 洩漏其他信息 |
Reproducibility | 攻擊者可以隨意再次攻擊 | 攻擊者可以重複攻擊,但有時間限制 | 攻擊者很難重複攻擊過程 |
Expoitability | 初學者在短期內能掌握攻擊方法 | 熟練的攻擊者才能完成這次攻擊 | 漏洞利用條件非常苛刻 |
Affected users | 所有用戶,默認配置,關鍵用戶 | 部分用戶,非默認配置 | 極少數用戶,匿名用戶 |
Discoverability | 漏洞很顯眼,攻擊條件很容易獲得 | 在私有區域,部分人能看到,需要深入挖掘漏洞 | 發現該漏洞及其困難 |
沒有留言:
張貼留言