為了避免自己撰寫出具有安全風險的程式碼而仍不自知,就挑上這堂 從 OWASP Top 10 實現全方位防禦強化 課程。這邊筆記下一些在威脅模型的分析與介紹。
課程相關資訊
[連結]:https://hiskio.com/courses/1539/lectures/146869
本篇範圍:Chapter 1
請注意:本系列文章為個人對應課程的消化吸收後,所整理出來的內容。換言之,並不一定會包含全部的課程內容,也有可能會添加其他資源來說明。
內容
安全為優先,不是開發完後才加上。
威脅模型
簡言之,便是以一個情境為例,來分析、辨識、列舉與排序系統的優先潛在威脅和安全。若以「登入系統」功能當例子:
1. 低安全的帳戶密碼
2. 多次登入失敗
3. 重設帳號密碼
4. 暴力破解
5. session 認證、token 保存,有無被傳輸過程劫持的可能?
