STRIDE威胁分析与DREAD威胁评价
STRIDE威胁分析
|
威胁 |
定义 |
对应的安全属性 |
|
Spoofing(伪装) |
冒充他人身份 |
认证 |
|
Tampering(篡改) |
修改数据或代码 |
完整性 |
|
Repudiation(抵赖) |
否认做过的事 |
不可抵赖性 |
|
Information Disclosure(信息泄露) |
机密信息泄露 |
机密性 |
|
Denial of Service(拒绝服务) |
拒绝服务 |
可用性 |
|
Elevation of Privilege(提升权限) |
未经授权获得许可 |
授权 |
DREAD威胁评价
|
等级 |
高(3) |
中(2) |
低(1) |
|
危害性 |
获取完全验证权限,执行管理员操作,非法上传文件 |
泄露敏感信息 |
泄露其他信息 |
|
重复再现性 |
攻击者可以随意再次攻击 |
攻击者可以重复攻击,但有时间限制 |
攻击者很难重复攻击过程 |
|
利用难度 |
初学者短期能掌握攻击方法 |
熟练的攻击者才能完成这次攻击 |
漏洞利用条件非常苛刻 |
|
受影响的客体 |
所有用户,默认配置,关键用户 |
部分用户,非默认配置 |
极少数用户,匿名用户 |
|
发现难度 |
漏洞很显眼,攻击条件很容易获得 |
在私有区域,部分人能看到,需要深入挖掘漏洞 |
发现漏洞极其困难 |
