威胁和威胁建模
威胁威胁和模建
本单元中
在胁威模使建您可以对得最可能影系统的响胁进威行系地统识和评别价。
威胁建模
有一种具结化的构法方,该方法随与意用应安特全的性式(方这随意的种式并不方切了确解种每全安性特对应付威的是胁么什相)更比经济,也更效有。
读完本阅单后元,威胁将模方法应建用到 eW 应b程序中用,就可以根您您据对应程序缺陷用充分的解来理别识评和价存的威胁。有现这些了息信,您可就按照一以定逻的顺辑,利用序当适对策来的理现存处的威胁并从,具最有大险风的威开胁始。
当
eW b应用序程诸向如 Iternnte、inratnte extrane或 等t友非善境公开环,时没有 10%0 全的安系。唯统一能可的解方案决是认威胁的存在,承少减控或相制关危险。威的建胁使模得您以进行可这分析种,把资并源集中相到关题上,使投资问回最大化。
目标报
?使 本单用元 :
? 建威胁模型。创
?
了 如解评何威价胁及以如使用何 DREDA模 型
。? 分应解用序体程系结,找构其缺到。陷
找出并记?与应用录程相序关威胁的。
应用于
Wb e应程序
用
如何用本使单元
本
元单概述能了找够出记并录与应用程相关的序威胁一的过般。程要充想分用本单元:
利
建立威?胁建的过程模如果没有现。成的建模程过就,以把可单元作本起为点,公司内在绍介威胁模的过程建如。果已经了建模有过,程可就把以本元作单为考用参进行来较比 。
?利 用手册本其的他元单熟,悉最见的威常。阅胁“威读胁及对策单元,它”述概了络、主网机应用和序级程出的现见常胁。威
?
有 网络特有关胁威的更信多息参阅“保护网络”,单元中的威“与胁对策。 ”
? 有关We b 务器服、应程序用务服器数据库和务服器特威有胁的多更息信,阅参“保护We b 务器”服“、护应用程保序务器服,”及以“据数服库器务等”元中的“威单与对策胁” 。
?
有 关程集序、SAPN.E、T服务组、件程远组、件Web 服和务数访据的特有威问的更胁多信息,阅参构建“安全序集”程“构、建全的安 SP.AET N页和件控、“”建安全的服构务组件”、构建“全安 的Web服 ”、“务构安全的建程组远”,件及以“构安建的全数访问”等据单元的中威胁与“策”对 。
?开发 威胁型。先模建构个威胁一型,再在需要模的候进行开发时这是。项一断改进的工不作安。全威胁发在展,用程序应是也如此用。个文档来找一出知的威已胁是什么并且,是如何理处它的(或们者有处没理)这,,您就样以控制应可程序用安全的。
页内容本
开始前 之威胁建
模原的则
第 步:1
标识源 资
第2 步创建总:体体系结 构
第 步:分解应3用程序 第
4 :识步别威 胁
第5 :记步录威
胁第6 :评步威价胁
胁建威模之后做何工该? 作小
其结他资源
开始之前
开威始胁建过程模之前理解下面,基本的术非常语重要 :
? 资
。源要重资,如源据数库中文件或统系的数上据系。统资。 源
?威胁 。潜在事,恶件意的或其他性的,可能质损坏或危及会源的资安全 。
? 缺。系陷统在方面某的弱点或特性它有可,造成威胁的发生能网。、络主或应用程机序级都可存在缺陷能。
?
攻击(或用)利。人或某某物者取采、的危资源的行害。该行为为能是某人通过跟可踪胁威或利用缺者而陷出做的。
? 对策。应对
威胁、小危险的减全安施。措
考虑一个简单的房子类:房子比中的宝珠物是品财产而,贼窃攻击者。门是房是的一部子,分而开的门则着表一个缺示陷。窃贼以可利用着的门开入进房间、珠宝偷。换句说话,攻击者是利用缺来陷取财获产。的在这情种下,况确的对策正是就关并锁上门。上
返页首
回胁威模建原则
的威胁模不应该是建一次就仅事大万吉的过程它。应该是重复个过的,程从应程序用设计早的阶段开始期,续持过应用程序经的个整命生周。这有期两个原。首因先不可能一次,就找所出有能的可胁。其次威因,应为程用很少为静态序,需要的善并适应变化的改务业要求所以,随,应着程序的发展,威胁用建过程应该模不是重断复的。
程过
图1 明表用利个六段过程阶,以实现对可胁威的建。模
注 面的下概过要可用程于前目在正发的应用开序以程及现的有用程序。应
1. 图胁建模过威概程观
?
识资源。标
找出系统
必保护须有的值价的资源。
?
建总创体系结构。体
用简利单的图表来记应用程序录体的系构,包括子结系统、信边界和任据数流 。
? 分解应程序。用
解分用程应序体的系构,包结括基本的网络主机和础结构基的设计,从为应用程序而创建安配全置文件安全。置文配的件的目是现发应程序用设的计、实或部署配置中的缺陷现。
? 识别胁。威
记攻击牢者的目,利标用应用程对的体系结序和构潜在陷的缺了解,出找可能响影应程序用威的胁 。
?
录威胁。 记
利
通用威胁模用板录记每种胁威该模板定义了,一要套捕获的各种威的胁心核属。性
?价评胁威。
对威胁
行进评价以分区优顺序,并首先先处最重要理的胁威。些这胁威来的危险带大。最评过程要价权威胁的衡可能,以及性攻击发生时能造成的可危。评害价结果可能的是:通对比过威胁
带来的风与为使威险得到胁减少花费的成所,对本某于威胁采些取的动是不行得值。的
输
出
威胁模过建程输出结的就果是项目为不组成同员供提文的档该。文档使们他以可清地楚了需解进行要处的理胁,威以及如何对进其处行。理威胁型模括包用应程体序结构的系定义和应用程序案的方一系列威,胁图如2 所。示
2.图威胁型模组成的分部
返回首页
第1 :标识资步源
找出要需护的保资。源这可包能括如客户或定单从据库等机密数数据到We b 页 W或be 点可站用性。
回页首返
第2步 创:建总体体系构结
在个阶段,目这是要标录应用记序的功程、体能结系构物、理部配置及组成署解方决一案部分的技。应术寻该应找程序设计和用实现潜在中缺陷。的
此在步,执中行列下务任:
?
确应定用程序做什么。
? 创
建体系结示构图。意
?定技术确。
确定应
用程序做么什
确应用定序程什做么及它以如何是用利和访资源的问记。用录,帮助您和例他人理解应该如其使用应用何序。程还有助于您推断出误用这应用程序情的况用例。在定的一境中环现实应用序程的能。功
这里
一有些助服务自雇、员力人资源应程序的用例示例用
:
?雇员 看财务数据。 查
?雇 更新个员数人。据
?管人员理看雇员查细资详料。
在上述况情下您,可考虑被以误的业用务规则含义例如,考。某虑用户试正图更另改个一户用个的详人资料细。据所定根义的应程用要序,他或求她有访问那些没细资详的权料限。
创建系体构示结意图创建
高级体的结系示意构,图图说明该应用了序、子系统以及物程部理特署的点成和组构,如结图3 中示意的图。据根系统复杂的性您,可需能要建创重处理不同点域的其区示他意图,模如中拟间层应用程服序器体务结系的构意图示,或模与外部拟统系行交进互的示图。意
3图. 用程应体系序构示结意示图例
首先画一个大致
示意图的要,表出应用示程序及子系统的组其和结构以及成其署部特。然后点,现(发通常在 3第步 ,解分用应程时发现)序和添加有关信任边界身、验份证及授以权制机详等信息细从而,进改示图意
。
确定技
术确用定于实解决现案方不的同技。这术助有您于在后稍过程的中关注术特技有的胁。这还有威助于定正确确、恰当的最低危降技险。术最您可确定能技的包括 AS术.PNT、EWbe 务、企业服务、服Mirocofst.N ETR metong 以i 及DA.OENT。还以可找应出用序程用调的任非托管代码何。
使
类似用面下表1 的 记录表术。
技表
1. 现技实术 技术
平/台 实现细信息
Mi详cosoft Wrindws Advoanc
edServ re 0200 的上 Mirocsotf SLQS rever
括登录包数据、用户、库户定义用的数据角库色表、、存过程储、图、约视束和发触。器
icMrosft oN.ETFr aemowrk用
于窗身体验份。证
全套接安字 (层SS)L
用来加密 THTP 传信输。
息
返回页首第
3步:分 应解程用序
本步骤在中分解,应用序程,并根据统传缺的陷区域为应用程创序安全配置文建件。要还找出任边信、数据流、界入口和点特代码权。应对用序结程构解了的多,越越就易发现容威。图 4胁 说明分了过程的解同目不。标
图
4.应 用序分程的目解标
在此步,中行下执列务任
? :标识信边任。界
?
标识据数流。
? 标
入口点。识
? 识标权特码。 代
? 记安录全置配件。文
标识信任
界边
出找包围应用序的各程体资实的信任边界源这些资源由应。程用序计确定。对每设个子统,要考虑上游数据流或系用户输是否可信入,果如可不,信要考对数据虑流输和入如进何身行份验证授权。和还要虑调用考代码否是信可如果不,可,考虑信何对如进行身其份验和证权授。必能须保够适当的网证关守卫程可以序将所入口点有都看在护一个定的信特任界中,边而接且者的入口收点全要验证面过信任边通的界有数据所。
首先代码从的角来度析信任分边。程序界代集表种格式一的信边任界,一个是常有用的非起点始哪种程。集信任序他的其哪程种集?序某定特程的集信序任调它用代码吗?的它否使用是码访代问全机制安对调来用代码进的授行?权
还
要虑考服器务的任信关系。特定的服务某器任信游上服务对最终用器户进行身验份与授权证?或吗服者器务自身供监提视服务?吗还,服有务器任上游服信器务传递给它的有具范规格的式正确数吗?
据如,在例 图3 ,We中 b用应序利程用定的固、可信身的访份问数据服务器库在,种这情下况这身种就是 份ASNET Peb 应用程序W程帐过。在该方案中户数,据库服务信任该器应程序对用用者调的身验证份和权授并给,权的用授只户发送效的有请数据求。
注
在 N.TE RAMEWOFK 应用程序R中程,序集定义最了的小信单任。元只数据要通过序集程界边— 根据定义它包括用应程域序进程、机器边或界— 接收 入者点应口证其输验数入据。
标识数流
一据种单简方的就是法以最高作为层起点,然通后分过单析子系个间的数据流统以迭代的来式分方解用程应。序例如分, 析eWb应 程用序和业服企务应程序间用数的流据后再分单析个务服件间组数据流的
。
跨信任界的边数据流别重特要因为从,己的信任自边界部外传递据的数代应当假定这些数据是码恶意的
,并且当对数据进行彻底应验证的。
注
数流据示意 图DFD( 和序)列意图示助有于范地规分解系统。FDD 数据流是、据数储存和数据区与目源标之间关的图系形表化。序列示意示图说一组明象对在有时间后顺序的先件中事是何如作协。的
标识入
口点
用程序应入的点口是也击的攻入口。入口点点能包可括听侦H TPT请 的前端求W b 应用程e。该序口入点有是公意给客户开的端其。入口点他如,由应跨用程层序的子组公件的开内入部口,它们点的存在是支只持与他其件的内组通信部。但,您是应知这些道入口点于何位,处及以它们接的收入输型是类么,以防什击者攻法设过应用程序的绕前而门接直攻内击入口点部。
对于个入口每点您,应该够确能定关网守卫序的程型类该,序进程授权并提行供证的验程度。
逻
应辑用序程入口点包括由 eW 页提b供的户界用、由 面ebW服务提供的 服界务面服、务件组 和.NET Rmetonig 组件及以供提异步入点口的息队列。消理物平台入口或包点端口和括槽。插
标识特代权
码特代权码问访特类型的安定全资,并源行其执特权操作。他全安源资类型括 包NSD 服务、目器录务、服环变境量、事件日、文件志统、消息队系列、能计数器性打、印机注册表、、接套和字 Web服 。务全操安包作括托管代码调用非反射、、串行化代码访、安全问权限性代及访码问全安策略性操的,包括证作据。
特
代码必权须通过代访问安码策略被全授适予当代的访问安码性全权。限特代码权必须保证所它装的资源和操作封不会开给公可不信的可和能恶有的代意。.NET FRAMEWORK 代码访码问安机制全过执行通堆栈审核查检授给权用调码代权的限但。是有时覆盖,行为该绕过并整堆个栈审核是要的必,例如当想,用箱限制沙权代特或码离特权代分时。码这做样为就引诱击攻公了开码代,恶代意可以通码可信过中的间码调用您的代码。代
覆盖由码代问安全提访供默的安认行为时要认全,真要并取适当的采全安施。措关检查有代码安全缺陷的更信多息,阅“参检安查代码全”单。有元代码访问安关全的更多信,参息“代阅访码安全问实”及“践ASP.NTE 代和码问访全”安等元单。
记安全录配置文
件一下步应,确该输定验入证身、验份证、权、配授置管理及其他以用程应最序容易到受击攻区的域使用等设的和实现计法。这方样做为应用程序创建了一就个全配安置件。
文下
说明表析分用应序程设计与实的现的各方面个时询要问的问题。有检查关应用序体系结程和设计的构更多息信参,“阅系结体构和设的安计全查检”单。元
表2. 创 安全建配文置件
别 需要考虑的事项
类入验输证
所输有入据都数验证了吗?
击者可攻把命以令恶或意据数入到注用应序中程?
当数吗据单在独信的任边间界递传时候的,验数证据由(收接入口者点验)了吗? 证
可以任信数库据的中数据吗?
身验证份
果凭据在网如上传络递对凭,据行进护保了?吗
使用强帐户策略吗?了
行强执码密吗?了
使您凭据了吗用?
用户密码使用
码检验程序(使用密单向散列了吗)
?授权
在应用序入程点口使用处什么网了守卫程关?序数据
中授权库如是何执行的
?采深用防度策护略吗了?
失败全安吗只在?功确成认据后凭允才许访吗问?
配置管理
应
用程支序什么持的样管界理?面
何如它们对行进护?
保是如对远程何管理进行保的护
?采用了什样的么置存配区储,如对它们何进行护保?
敏
数据感
应程序用理怎处样敏的数据?感
在络上和在永网存储区久是如何中进行护的保
?使了用什类么的加密技术,型如何护保钥密?的
会话理
管会 话cokoie是如何生 的?成是
何如保护们它不会受话劫持?的
如保何护持久话会状?
态经当网络时是如过何保护会话态状?的
如何对会话存储区行进应程序身用验证份?
凭据在线传上吗?应用程序对它们进递行护吗?维如是这样果,如保护它何?
们
加技密
术用了使什么法算加和技术密?
密钥多长,如何保?护应用
程序实自施身的密技术吗?加密
钥多久环循次?一
参
数作操应
用程序检测到被改的篡数参吗?了应
程用验序证窗了体字、视段图态、c状ookie数 据以 HT及PT标头中 所有数了参吗
异
常理管
应用程是如何序处理错情形的?误允
异常许播传回户客吗端?
用不使含可用信息的一利错误消般了吗?
息审核
和日志录记应用
程序审核活动是的否及遍有服务所器的上有所?层
何如保日志护件?文
返回
首页
第4 步:识别 威
胁本步在骤,中可您识别出以可能有影系响统并及资源危安的威胁全。了为指导识过别程,开把发人和测员试组小集起合来在白色,书写板进行可增长见识前的自讨由论会。议是识别这潜威在胁的虽然单简但效的有式。理想的方况是,该情组小由应用程序构架、师安专全人业士开、发员、人测试人和员系统管理组成。
员您还
可使用以种基两方法: 本
?利用 S RTDE I识来威胁别。考主虑要类种的威胁,如骗、欺改篡拒、绝服,务利用“并胁威与对”策元单 S的TRDIE模型, 出提应与程序用系体构结和设计的各方个面关的问题。相是这种基于一目标方的,法这在里考您虑的攻是者的击标目。如,例击者攻以可假
冒身份问访务服器 或ebW应用 序程吗某?人能够篡改网络或者上存储中的区数据?某吗人以可拒服务吗绝?
? 用使类的威胁列分。这种方法表是常从威见的细胁清单开目始的,胁威根据网、主络机和用应序程种的进行类分。组一下步,威胁列将应表到您用己自的应程用体序系结构在该过程早期和现的发任缺陷中。您将何能够立排即除些威某,因胁为它们不并用于适您方案的。
使用下
列源资助于有进行威识胁别程: 过
?
有关 据网根络主机和应用、程序层织的组一列系威,胁以对及威的胁释解和关相策的信对,参息“阅胁威对与策”元。单
?
有 关根据术技类的分一系列威胁的信,息参本手册阅 第3 部分每“个建构单”开头的元“威胁与对”部分策
。
在步中,执此行列下任: 务
?
别网识威胁络 。
?
识别 机主胁。 威
?
别应用程识序威胁 。
别网络识威胁这是
络网设计和者理员的管任务。析分络拓网扑数据包、的流,以动及由器路、防火墙交和机换配置寻找潜,的缺陷在。还注意要虚拟专用网 (PVN 终结)点。回“顾威胁与策对单元”中定的最常确网见层络威胁网络防的。 护
设计阶在要考段的虑要网络威主胁包:括
?
用依利赖送方 发PI 址地的全安制机。?利 假用 源IP地 址IP 欺()骗送发I P据包相数比对较易。容
?通过未 密加网络道通送传话标会识或 cookie。符可能导这致 I 会话劫持P 。
?
过未加密通通信道通传送明的文身份证验据或凭他敏其数据。感可能会允许这攻者监视击网、络获登录凭取据,或者获并可取能改篡他敏其感数项。 据
还必
须证保络网易受不来于不安自全设备和务服器配置威胁。的例,如多余端的和口协议关闭禁用并了吗?路对由表和D SN 服器务进保行护了吗?服器务上 TCP网 堆络栈进行化了吗强有关预?防种该缺陷的多更息信参阅,保“网护络”元。单
识别主机
威胁
配置主安机全( Mi即cosrfo tWindow 2000 和 sNE.TF RMAWORKE配置) 时,本册通篇手用使方的法就是该配将置为分单独几的类这样您,就以以可结构化逻和的辑方式应用全安置。理论设上该,法也适方于合查检全、安测定缺陷以识及威别。胁用适于所服务器角色的常用配有置种包类括补丁和新更服、、务协议、户、帐文件目和录共享、端、、审查和日口记录志。对于一种每,类都识别可要能易的受攻的配置击设。置这从些置设识中别胁。威
考虑的主要要陷缺括: 包
?维护打补丁的服未务器,病毒特、洛伊马木、蠕和著名虫 IIS 攻击都的以可攻这种击务器。服
? 使用非 需必的口、协端和服议务这将增,大攻击的围,可以范
使攻者收集击信并息击攻环境。
? 许允经身份验未证的名匿问。访
?如 果以可蓄锁意帐户,定用脆弱的密使和帐码户策可略导致破以解码、盗密身用份和绝服拒攻务击。
识别应用
序威胁
程前面在几个步的骤,中定义您了应用程序体的系构结数、据流信任和边。您还界建创一个了全配置安件文它说,明了应用程序何如处理核心域区,例身份验如、授证权配、管理以及置其区他。域
现在使主用的 要SRTDEI 威种胁类预定与义威胁的表列来细仔检应用程查序安的配全文件置的方面面方集中考。应虑用序程胁威技、术特的有胁威代和威码。考胁的主虑缺陷要包括:
?
使用输入的证验不力将致跨导点脚本站编 (写SS)XS、QL注 和缓冲入区出攻溢击。
?在未加密的网络链路 传递上份验身凭据证者身或验证份 cokie,会导o捕致获凭或据者话劫持会 。
?使用脆弱的 码和密户策略帐可导能致授非访权问。
?
保护用程序的配置管应理方失面败包,管理界括。 面
? 以文明形式存储的配置密,秘例连接如字符和串服务户凭帐。 据
?使越权进用程和务服帐。 户
?
用使安全不数的访问编码据术技这可能会增,大 SQL 注入造成威的。
胁
?使用 弱脆的或自者定义的加技术,并密且能未分保护密充钥
。
? 靠依 W从be浏览器 传递来过的数参完整性的例如,,体窗段字查询字符、串c、okoi e据数以 H及TPT 头标。
? 使用不全的安异处常理,这能导可拒绝致服务攻以击泄及对漏于攻击者说非来常有用系的级详细资料统。
?审与日核记录不充志分,这可导致能否认威。胁
使用击攻和攻树模式击攻
树和攻击模式是安全专击业员人使的主要工用具。这不是威些识胁别段阶主的的组要,件会发但现它非常们有用。们可以使它您在深更次上分析威层胁,识别出超已您威知范胁的围他其能可。性
要点 您使当用以准前好的已知威胁分类列表时,它备示展只的是见的常已知胁。其他威方的法,如使例用击树攻和攻击模,可式帮以您助识其别潜在他威的。胁
攻树击一种是以构化结层与化次方的收集式和录系记统上在潜攻击的的方。法结构提树给供的您攻是者击害系损统全所使用安的种攻击各细目的类分。创建击树攻,就创了一个可建用重安全问题表的示方,这有助法于将力集精中。试小组可以测创测试建划来验证计安设计。全发人开员可以实现在期间行进衡,而权架师或构者主开发者要可评以其他方法的安全费估。用
攻击模式一是种捉企捕业击信息攻形的化式法方。这些式有模助您于别常见的攻识击方法
。
创攻建击
树实中践虽然可以用
使几种方,法但遍普用的使方是识别攻击的目标和子法标目以及,击成攻功必须所做事情的可以使。一用分个级意示来表示攻图击,树或使用一者简单个略图的。要的是最终您有重了一张描绘攻应用击序的轮程图廓。然就可后评估以可的能安全风,险并可以使用适当的策对降来危险,低例更正设如计方、加法配置固设置及以他其解的方案。
决通过
建创示表击攻者目的根节点标始构开建攻击树然后。添加叶节,叶点节表点示种攻每击的攻击法。方图5 表 了一个简单示示例。
的
图 5.攻击 的树示表法方
以可用 NDA和 OR 标 签标叶节记。点例如, 图 中5,1. 1和 12.都发 时攻生击有才威胁。
似上类显面示攻的树击趋其势是很快会就很杂。复创建些这攻树也击很耗时。一些组喜欢小使用另的一替代种方就是法利用诸下面如示所略图来的使击树结构攻化。
1.
oaGlOn e
1.1 Sb-gual oon
1.e S2ubgoa- lwot
2 .Go al Two2.1 Su
-goablon e2
2. Subgo-l atow
注 处目理和标目子外标,击攻还树括包击方法攻需要和条的。件
这里使用略图是方法的例:示
hTert #1a ttAckare btoinsa authnteiacito cnrdenetalis ybm ontoriing ht neteorkw1.
1 Cler atex ctrednteali ssnte ovr eht neewort kAND
.2 A1tatkce urses etnwrokm-nitoring otolo
1s2.1.A ttcaer kercoginesz recdnetail daat
想一个完看的整示例请参阅,本手“册骗表欺”节一的“攻击树示中”例。
攻击模式攻击
模是式各在不种同境环发中生常的见攻击的般表示方法一。式定义了攻模击的目标及以击发攻生所必须存的在条件、实攻施所击需要步的骤攻和击结的。攻击果式主要考模攻虑的击法,方基于而S RTDIE 方法的主要考攻虑者的目标。击
攻模式击的个一示例就是代码入攻击模注式它,用于以种一用通方式的来述描代码入攻注击表 。3.3说 明代了注入码击模攻。式
表3 码注代攻入模式 击
式模 码注代入击攻
击目标
攻命令者执或行代码
需要的件条
入验输证不分充
击者攻的码代有足够的服器务权。特
攻方击法1
具有输入缺.的目陷系统上标的识程别序。
2.创 建入注代并且码用目标利用程序应安全上的文运行。下
3 .建构入值输,将代码入注目到应用标序程寻址的空,间并使堆迫栈溃,崩应用程使执序跳转到注入行码处代
。
攻击结果
击者的攻代运码并实行恶意的行施。为
关有攻模式的更多击信,请息参本阅单末元一节的其他“参考文的”。献
返回首
页 第 步5记录威胁
为:记了应录用序程的胁威使用一个,板,它显示模了类似面一种威下胁几的种威属性胁威。描述和威胁目标胁基本属是。性这个阶风险评段一价
栏空。着等威胁到建模程过的最阶后对段确定威的胁列区表分先优序时顺使才。用可能想包的括他属其为攻性方法击它,突出了利也用的陷缺,及以对威胁针所要的需策对。
4.表 胁威 1 威胁
述描 击者攻过通视网监获络身取验证份凭据 威
胁目标的
eWb应用程序用 身户验证进份程
险危
攻
击方
法利网络用视软件监
策对
用 利SL S提加供通密道
表5 威胁2
威描胁述注入 QL S命令
胁的威目标
据访问组数件
危险
击攻法
方攻者击用在名户添加 SQL后命令 ,成形 QL 查询语句S
策对
利正用表达式则验证来户名,使用用参带数访问数库的据存过程储
。
返回首页
第 6 :步价评胁威在
模过建程的阶现,段已有了经用到特应定应用程序案的方胁威列。在表建过程的最模阶段后,要根威胁造据的危险成对其行评进。价这样您能够首就解决危险先最的威胁大然,再解后其他的威决。实胁上际,解所决有找出的威也胁许经在济上不是行可,的可您以进行决策忽略一掉些,为它因发生们的机很会小即使发生。,来的损带失小很
。
险 危= 生的发率×概潜的损在失
公该式表明,特定威胁成的危造等于险威发胁的概率乘以潜生的在失,这表明损了如攻击发生果会对系统造将的成后果。
可以用级等1- 10来衡量 率概这,里 1表示胁非常威不可能生,发 1而 表0几示肯定发生。乎样同可以,用等级1- 10来衡量潜 在的失损这里,1 表 示最小的损失而, 0 表1大示难。用这灾种法方,发概生低率但潜在失损大威的胁成造危险的于潜等损在失有限但非有可能常发的生威所胁成造危险的
。如,例if Pobabriltyi10= nad DmageaoPtneitla=, t1hen Rik s =0 1 *1 =1 .0If Prbobilaiy=1t an daDamgeoPtntiael=10,t hne Riks = 1* 1 0= 1 0。
这
种法方致分为导级 1等-010可以将这,等些级成分、高中低、危险三。
级高
中、、级低危险
可利用以单的高、简、低级中来区分威胁别优的先序顺如果某。威胁被评为价高它对应用,程序成的危造险大,需要很尽快进处行理。中威级胁需要也处理,但是是不太紧迫。以决可定忽略低威胁级这,取于处理决该威胁需要所工作和成的本。
DR
EAD
简单价评统系的问题于小组在员对评价结果通成常见不意一。为帮解决这助个题,新添加几问来帮项助定决全威安的胁响影真意正义是么什在。 Mcrosoft,i使用 DEAD R模来型协助计危险算。用使 RDEAD模 ,型通过询下列问问题就以可得到给威胁的定风评险价果:
结
? 在潜失:如损果缺陷利被用损,有多失? 大
? 重性现:复重生攻产的难度有多击大?
可?利用性:发攻击起的度有难大多?
?受 响影
的用户:用粗略的分百数表,有多少示户用受到影响 ?
? 发现性:缺陷容易可现发吗 ?
可利以上面的用项来评价几每一威种胁也可。根以您据的需扩要上展面的问。题如例,可您以加关于有添能损可信害誉问题的:
信誉:
风险有高?有可能导多致客户去失信任信的誉险危?吗
评不价需要使用量的衡量标准大,为因这使会互相间很难在评价威胁之面达成方致意一。可以见用一种简单的方案使例如高, 1()、 中(2、低)(3)。
当清地定义晰评价了系中每统个一表值的示义含,就可帮时避助出免现淆混。 表6 示显的是种一典型的评表示价,小组成例员可以它用来分威区胁的先优序。顺
表
6.威 评价表胁 评价 高
3)( 中(2 ) 低(1)
D潜
的在损失
攻者可击以暗中坏安破系全统,获取完全信的授权任,管理员以身的运份程行序,上传容内。
漏敏感信泄息
漏泄价值高不信的息
R
重现性攻击每
可次以现重而,不需要且间间隔。时
击每攻次可重现以,但在只个一时间间和一种特隔定竞争条件的才能进行。下
攻很难击重,现即使了解安很全漏。洞
E
利可性用
编程新手在短时间就可以进内这行攻击。类
练熟程人编员可以行进这类击,攻然后复重行进些这步骤。这
攻类需击非要常练的老人才员进能行,对并次每攻都有深击入了的解。
A受
影响用户的
所有的用户,认配默置,主要客户
一些用,非户默配认
置少极的用户特,不点明,影确匿名用响户
D
发可现性
公解释攻开击的息。信以可最常在功能中找用到缺陷,非常明的。
显产中很少品用部分使的缺陷只有少量,的户可能遇用。到判是断是否恶意用使要花需费些心机一。错误不
显,用户不明可能引起在潜的失损
询问完上问述后题,算计给定威胁值 的1–3()结。果范围 5–15。这样为就您以可总分 1将21–5 的威胁评为高价度险,8–11危的 威胁价评为度中危,5–险7 的胁威评价为度低危。险
例如,虑先考前描的述两种胁威:
?攻 者击过监视通网获得络份验证身据凭 。
?
将QS 命L令入到应注用程。序
表7 显示的是两威胁种的 RDADE 价评示:例
表
. DRE7A D价 评威
D R胁E D A总计 得分
击者通攻过视网监获得络身验份凭证。据3
3
222
1
2
高将
SLQ 命注令入到用应程序
3。
3
3
3
2
41
高
旦获得了一危险评价,就您可以更记录新的胁威并添加现发评价级别的,对于述两上种胁来威都说是。高 8表显示了 个示一。例
表
8 威胁 1 威
描述胁攻 者通过击视监网络获身得验份凭证据 威
胁的标
We目b 用应序程户身份验证用程进
危
险价评
高
攻
击方法
利网用络视监件软
对
策
用 SSL 提供加使密通
道
返回页
威首胁建之后模做何该工作?
威胁建过模程输的出括包应用序程系体结构安全面的记方和录价评过威胁列的表威。胁型有助模您于调开协发小组员成,并精力将集中最在有影的威胁上响
要点。威胁 模是一个建不重断的复过程威。模型胁是一种展发文的,档并各且不种同小的成组员可都以与参。
下小组列的员人可以使用威胁模型: 都
?计者可设利用以来它行进术技与功能方的安全设计面选决策。
? 编择写代码开发人员的可利以用来降低它风险 。
?测 人试可员编以测试案写例来测试应用序程是否易受分析容所出找的威胁的击攻 。
成工生项作目报告
从初最的威模型,您胁可创建一个以正式更工的项目报告,它作以可括包其的他属性,例如 Bg ID,u用可它把您好的喜误跟踪系统错威胁连和接起来。际实上,您可以择在错选误踪跟系中输入统找出的威,胁利它用的报工具来告生报成。也告可用以一个状态来表明栏误是否错已被经复。修您当应保确告报括包用连来接威胁模文型的档始威原胁编号。
在报中告,据根络网、机主和应程序种用来组织类威。这可胁以不使同角色的同小组成不更员方地使便用该报。告每一中类按,优先顺排序列威,胁先最是评价具有的大最危险威的,紧跟的胁危险较小是威胁的
。返回
首页
小结
虽然您可以低攻击带来降危险的,但是却不能减或少消者除际的威胁实。不您管采取何种全措施以及采用何种安对策,威仍旧胁在。存全安的界现实就,是认威承的胁在并控制存险。威胁建模危以可帮助您制控全风险并安在团队间沟中通些安这风险。全
将威要建胁看成一模个不断环的过循。程您威的模型应当胁是动模态,应型着随时间推移不的断改更以,适应现发的型新胁与攻威。击它还能够要应适用应程为适应业务变更序的需而不求完善断与改的更自发然过程展。
回返首页
其他资源
有其他关相的关材,请参料下阅资源列:
? 关有攻击模式的多信息更,参请“A阅ttak cMdelongif r onIformtioanSec riuyt adn uSrivvbaliit,y,”者 And作re P.w MooreRob、ret J.E llion s和 Rcihard C .iLgern,网址h ttp://ww.cwreto.grar/cihe/vdfp/0tn001.1dp。 f
? 有关评威估、胁源和资受易击攻的信性,息参阅“请Opeartoinlay lCrtiiac Threal, tAsest,a n dVulnrebaiitly vElaauion (tOCAVTE)F ramewrok,V resoi n10.,位”于内基卡梅软件工程学隆的W院e 站b点上网址,h tt:p//ww.seiw.cmu.du/pubeicalti... 9 9t017frgiure.shtl。m
?
浏览要关威有建模胁的信,息请阅“Arch参iect tWeCbatsU:ins Thgrea todMelsto De isgn ecuSr eoSutloins”,
网址 htpt//:ww.wicrosomftc.o/msa/wubeactss/nodmend/16a7.1as。p
?
有创关 D建FD的 更信多息,参阅请Writing Sec ur eode, SecCondEdi tion作者,Mi hacleH waod,DavridC. eBlancL。