安全测试中用实例来解释安全威胁分类
作者:网络转载 发布时间:[ 2011/10/28 11:37:30 ] 推荐标签:
话说回来,安全威胁分类的英文缩写是STRIDE,代表了六种安全威胁,分别为Spoofing,Tampering, Repudiation,Information Disclosure,Denial of Services,and Elevation of Privileges. 1、Spoofing 是伪装,比如我用别人的ID发言是Identity Spoofing,我想到用变化IP的办法是IP Spoofing. 2、Tampering 是篡改,比如我用别人ID发言的手段是篡改了合法包,而他们的server端没有相应的检查措施。
3、Repudiation 是拒绝承认,比如我进行了这些攻击,他们并不知道是我做的,也没有证据是我做的,我可以不承认。
4、Information Disclosure 是信息的泄漏,比如他们的那串数字图片没有任何保护,图片上的信息轻易的被别人得到了。
5、Denial of Services 是拒绝服务,比如我的自动发帖使得正常用户无法使用是这种攻击。
6、Elevation of Privileges 是权限的提升,比如我尝试用管理员的权限去做事情,是属于这种。
一般来说,EOP的威胁是大的,这也是为什么Vista下要加入UAC的功能了,是为了防御这种攻击。而Buffer Overflow则是可以被利用进行这种攻击的常见安全漏洞,这个问题可以以后再谈。DOS攻击可能是容易发现的安全漏洞,比如一个AV可以导致这种攻击。当然DOS攻击也分为两种,一种是导致服务突然崩溃,另一种则是使服务逐渐失去能力,比如在大客户量的时候。第二种要比第一种更难测试一些了。这些威胁都不是独立存在的,很多时候是互相关联的,比如我是通过Tampering的手段,达到了Spoofing的目的。再比如,你如果成功进行了EOP的攻击,Spoofing, Tampering, Information Disclosure 这些问题也自然出现了。对于我们安全测试来说,我们一般是对照一个软件模块,通过安全分析,列出各种可能的威胁,并且设计出各种安全的test case去进行测试。
相关推荐
更新发布
功能测试和接口测试的区别
2023/3/23 14:23:39如何写好测试用例文档
2023/3/22 16:17:39常用的选择回归测试的方式有哪些?
2022/6/14 16:14:27测试流程中需要重点把关几个过程?
2021/10/18 15:37:44性能测试的七种方法
2021/9/17 15:19:29全链路压测优化思路
2021/9/14 15:42:25性能测试流程浅谈
2021/5/28 17:25:47常见的APP性能测试指标
2021/5/8 17:01:11