浅析Web应用程序安全规划
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
创 建 一 个 安 全 策 略 防止 或 者 降 低 威 胁 ,在 确 定 了所 以 的威 胁 后 1 1常见 的安 全 漏 洞 类 型 . 并且 有 针对 性 的制 定 相 应 的 策 略 。 恶 意 用 户 使 用 各 种 方 法 利 用 系 统 漏 洞 , 达 到 他 们 的 目 的 。漏 洞 将 威 胁 分 类 , 来 常用 的确 定威胁 的方 法是 S RIE。S R D T D T I E是 sof giety p oi dni n t 是 安全 性 方 面 的弱 点 , 击 者 可 以使 用 它 们 获 得 对 一 个 组 织 的 网络 或 攻 者 网络 资 源 的访 问权 。下 面 列 举 了 一 些 安 全 弱 点 : 111 密 码 .. 弱
( 身份欺诈)tm e n 篡改)rp dai 否认)ifr t ndsl ue , p r go r n i cs
,eil sri ( f c 和 lvtno p v ee特权 提 of il 密 码 是 进 入 计 算 机 的 钥 匙 。用 户 常 用 易 记 的 口令 , ( 信息 泄露)dna o ev e拒绝 服务) eeai r i g ( 升1 字 母 缩 写 词 。S R D 的 T I E模 型 对 组 织 环 境 中 的威 胁 进 行 分 类 并 划 分 例 如 , 们 用 生 日 , 字 作 为 口令 , 使 得 攻 击 者 容 易 猜 出 正 确 口令 。 他 名 这 弱 口令 不 仅 能 够 使 攻 击 者 访 问一 台计 算 机 , 让 他 们 访 问计 算 机 所 连 优 先 级 。 还 为 了 遵循 S R D 可 以 将 系 统 分 解 成 相 关 的 组件 , T I E, 分析 每个 组 件 接 的整 个 网络 。6位 字 母 和 4位 数 字 以 及 一 位 符 号 就 够 成 了 强 密 码 。
0 引言 : .
证 和授权 、 以盈事务处理不可否认等为应用程序安全性制定计 划涉及
. 在 考 虑 We 用 程 序 安 全 问题 的 时候 ,往 往 我 们 会 想 到 网络 和 以 下几 个 任 务 : b应 确 定 应 用 程 序 面 临 的 威 胁 ,这 是 为 安 全 性 制 定 计 划 中 重 要 的任 主 机 的 安 全 。 we 用 程 序 本 身 的安 全 考 虑 的不 是 那 么 的完 整 。 在 b应 在
Lu Jn i i g
( o ue cec n gn e p rme t W u i Colg , u ih n, ja 5 3 0 C mp trS in ea dEn ierDea t n f o Y l eW ysa Fuin3 4 0 ) e
Absr c : ' i a tc e d s u s d t e s f t fwe p lc t n a d t e p o e s o h a ey d sg ,i to uc h T DE d lwh c s u e o t a t 1 l ril ic s e h a e y o b a p i a i n h r c s ft e s t e i n n r d e t e S RI }s o f mo e ih i s d t c n im t r as o fr h e t . Ke wo ds s ey;h e tmo e i g;ta e y y r : a t t r a d ln s r t g f ’
如 那 在评 估 应用 程 实 际 生 活 中 ,我 们 往 往 面 对 的 各 种 用 户 , e 用 程 序 存 在 的漏 洞 往 务 , 果 不 首 先确 定 威 胁 , 么就 不 可 能 确 定 安 全 策 略 。 w b应 序 的威 胁 时 . 收 集 以下 信 息 : 要 往 使 我 们 的机 密 性 , 全 性 , 整 性 提 出 挑 战 。 安 完 了 解 一 些 常 见 的 应 用 程 序 安 全 弱 点 , 及 恶 意 用 户 利 用 这 些 弱 点 以 的方 式 . 说 明传 统 安 全 模 型 的 一 些 不 足 。 并 需 要 保 护 那 些 资 产 每个 资 产都 面 临 哪些 威 胁
并减 重 11 .. 2软件配 置错误 错误 的软 件配 置方 式会 造成 系统 易受攻 是 否 易 受 威胁 攻 击 , 轻 威 胁 所 带 来 的影 响 。接 着 , 复 这 一 过 程 , 击, 比如 , 个 服 务 被 配 置 为 使 用 本 地 系 统 帐 户 , 者 得 到 了越 出其 需 直 到 对 于 剩 下 的 任何 威 胁 都 感 到 放 心 为止 。 一 或 在确定威胁之后 , 须决定如何应 对每个威胁 , 必 可以采取 以下几 要 的权 限 , 么 攻 击 者 就 可 以 利 用 这 个 服 务 进 入 系 统 , 对 系 统 执 行 那 并 将 移 确 恶 意操 作 , 件 配 置 错 误 可 以分 为 三 类 , 表 格 中举 出 了 三 类 错 误 和 种 方 法 : 威 胁告 知 用户 , 除 功能 , 定 减 轻 方 法 。也 可 以通 过 身 份 软 在
维普资讯
科技信息
0计算机与信息技术O
S IN E E H O O YIF R TO CE C &T C N L G N O MA IN
20 07年 第 2 期 O
浅析 We b应用程序安全规划
刘 靖 ( 夷学 院计算 机 科学 与 工程 系 福 建 武 夷 山 3 4 0 武 5 3 0)
摘要 : 文讨论 了WE 本 B应 用程 序 的安 全性 以及 安 全 设 计 的过 程 , 绍 了 用 于确 定 威 胁 的 S 介 TRI DE模 型 。 关 键 词 : 全 性 : 胁 建模 ; 略 安 威 策
Th Ana y i fTh a e y Pl n o e e l ss o e S f t a fW b App i a i n l to c