软件安全设计(威胁建模实现)

目录

一、实验目的

二、实验软硬件要求

三、实验预习

四、实验内容(实验步骤、测试数据等)

实验步骤

确定安全目标

创建在线学习系统概况图

分解在线学习系统

确定威胁

威胁评估

确定威胁缓解计划或策略

验证和记录威胁


一、实验目的

熟悉软件安全需求分析方法,掌握软件安全分析技术。

二、实验软硬件要求

1、操作系统:windows 7/8/10等

2、安装Threat Modeling Tool 2016

三、实验预习

《软件安全技术》教材第7章

四、实验内容(实验步骤、测试数据等)

1. 目标:完成基于Threat Modeling Tool 2016的在线学习系统威胁建模过程。

2. 步骤:

(1) 安装Threat Modeling Tool 2016;

(2) 打开软件,根据前期的在线学习系统安全需求分析结果,构建软件流程图以及软件安全边界。

(3) 根据软件流程以及安全边界,生成威胁建模报告

3、实验报告。

实验步骤

  1. 确定安全目标

对于基于web的在线学习系统,其中需要保护的对象主要包括:

用户信息(学习者信息、教师信息、管理员信息)、资源信息(在线课程)、用户和管理密码、业务逻辑等。

图 1 在线学习系统业务流程图

  1. 创建在线学习系统概况图

在业务流程图的基础上,根据web服务的数据处理过程,构建的数据流图

图 2 在线学习系统数据流图

  1. 分解在线学习系统

图中用方框圈出了边界,虚线表示程序的出入点。

图 3 在线学习系统分解

  1. 确定威胁

有了在线学习系统的图形化表示,包括安全边界和信任边界,就可以开始确定在线学习系统的所有威胁了。这里采用工具threating modeling tool生成分析安全威胁报告来创建威胁列表,展示部分内容。

威胁类型

安全威胁

资料披露

SQL 数据库的数据保护不当可能使攻击者读取非公开的信息

欺骗

SQL 数据库可能被攻击者欺骗,这可能导致错误的数据传递到登录进程

人类用户可能被攻击者欺骗,这可能导致未经授权访问请求进程

特权提升

请求过程可以模拟人类用户的上下文,以获得额外的特权

请求过程可以模拟 Web 服务的上下文,以获得额外的特权

篡改

如果允许登录进程访问内存,比如共享内存或指针,或者允许登录进程控制 Web 服务的执行(例如,传回一个函数指针)然后登录进程可以篡改 Web 服务

经过验证/未验证的数据流可能被攻击者篡改。这可能导致针对请求进程的分布式拒绝服务攻击攻击,或针对请求进程的特权攻击升级,或由请求进程披露信息。未能验证输入是否符合预期是大量可利用问题的根本原因。

抵赖

声称它没有从信任边界另一边的进程接收数据

分布式拒绝服务攻击

数据流登录请求可能中断

表 1威胁列表

  1. 威胁评估

可以采用概率x影响因子排序法对上一步中确定的威胁进行排序,本文中的学习系统规模较小,进行省略操作。

  1. 确定威胁缓解计划或策略

1)Spoofing(欺骗)——做好鉴权,考虑使用标准身份验证机制来标识源数据存储区,考虑使用标准身份验证机制来标识外部实体;
2)Tampering(篡改)——保证完整性,考虑所有路径及其处理数据的方式,使用经批准的列表输入验证方法验证所有输入的正确性,考虑一下登入进程函数是否可以使用较少的内存访问,比如传递数据而不是指针。复制所提供的数据,然后验证它;
3)Repudiation(抵赖)——加强可追溯,设置使用日志记录或审计来记录接收数据的源、时间和摘要;
4)Information Disclosure(信息泄露)——加密,检查授权设置,对数据库存储用户密码进行散列计算存储;
5)Denial of Service(拒绝服务)——保证可用性,外部代理中断在信任边界上以任一方向流动的数据,升级服务器容量;
6)Elevation of Privileges(特权提升)——加强权限控制,多重认证;

  1. 验证和记录威胁

最终完成对本次威胁建模的验证,以及文档的记录和保存。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/15970.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

探索图文处理的未来:知名学府与合合信息团队分享NLP实践经验,人工智能引领技术革新

相信最近很多朋友关注的公众号和短视频号都有关于ChatGPT的文章或者视频,对此我就不再过多描述“生成式人工智能”是促成ChatGPT落地的重要技术,“ChatGPT之父”阿尔特曼曾说:“我认为我们离生成式人工智能还有一定距离。至于判断标准&#x…

chatgpt赋能Python-python_movie

Python 在电影产业中的作用 Python 是一种高级编程语言,被广泛用于软件开发和数据科学,但你可能会惊讶地发现,Python 还在电影产业中扮演着一个不可替代的角色。Python 的出现不仅能够加速电影和动画的生产,而且在电影制作中&…

chatgpt赋能python:Python做动画特效:构建令人惊叹的动画

Python做动画特效:构建令人惊叹的动画 Python是一种功能强大的编程语言,可以用来建立各种应用程序,从后端Web服务到数据分析、机器学习和人工智能。然而,很少有人会将Python与动画特效联系在一起,这在技术和艺术的融合…

与ChatGPT的有趣对话|Adobe是什么软件?

Adobe是一家知名的软件公司,其产品涵盖了许多不同的领域,包括图像编辑、视频编辑、音频编辑、桌面出版、网页设计等等。以下是Adobe公司的一些主要产品: Photoshop:一款图像编辑软件,可以用于调整照片的颜色、对比度、…

AI绘画设计师专用单词表;游戏业AI正在疯抢工作;使用AI工具翻译整本英文书;用GPT-4搞定调研报告 | ShowMeAI日报

👀日报&周刊合集 | 🎡生产力工具与行业应用大全 | 🧡 点赞关注评论拜托啦! 🤖 『如果是皮克斯制作了哈利波特系列』又萌又暖还可爱,想 rua!! 皮克斯是美国顶级的电脑动画制作公司…

任务 04、Midjourney提示词使用初指南:AI绘画不再难

4.1 任务简介 本次实验任务帮助读者掌握MidJourney提示词的使用为主题。任务分为四个部分,包括掌握提示词的基本使用结构、了解编写提示词的基本原则、探索提示词的基本用法以及通过实例快速体验提示词绘图。通过学习本任务,读者能够全面了解并熟练运用MidJourney提示词,在…

Stable Diffusion,给大家一点小小的固有印象

输入文字自动生成 AI 绘图,喜欢吗?😋 下面测试一下简单的提示词生成效果,可以认为体现了模型的默认固有印象(训练集平均)。 Model: Protogen v2.2 Prompt: two asian women 经典吊梢眼、宽眼距、塌鼻子。…

【内含实物图】一款可独立行走且支持远程对话的微型巡逻摄像头——硬件方案

一、概述 随着科技的不断发展,机器人也越来越被大家所熟知。像各大商场,银行,餐厅等地方,机器人已经是被广泛使用在方方面面,使大家的生活越来越便捷。特别是人工智能的发展和视觉技术的成熟,机器人的功能也…

Softing工业将亮相2023年汉诺威工业博览会

Softing工业将亮相2023年汉诺威工业博览会 ——提供全球范围内的IIoT数据集成解决方案 机器的连接性是数字工厂的核心组成部分。只有当设备和系统之间端到端互联时,才能灵活且安全地部署物联网、监控和数据分析等应用。 在展会上,我们将向您展示如何轻…

没有银弹,ChatGPT并不是凭空出现的神话。

ChatGPT热度高居不下。从12月至今,其热度已经持续了三个月有余,甚至还有继续延续的趋势。 ChatGPT上线后的短短5天内,用户破百万,一朝引爆全网关注,AI概念股价格飙升。新版微软Bing上线内测,一个更加智能和…

从rookie到基佬~009:无密码卸载Symantec

今天是变直小技巧 今日份洗脑:无密码情况下卸载Symantec(赛门铁克) 结论:赛门铁克的服务一旦启动,怎么卸载都需要密码,反过来说,你不让他启动,他就是待宰的羔羊。 坐标国内某企业…

网络模拟器 eNSP、EVE-NG、GNS3、Packet Tracert

工欲善其事必先利其器,学习网络不可能都有真实的网络环境可以使用,这时就需要使用网络模拟软件,模拟一些网络环境,构建一些网络拓扑,然后学习研究网络技术 初学时不要在模拟器的选择上纠结,PT、GNS3 就足够…

Umi‘s Friends——突破GameFi传统,游戏界新的P2E潮流先锋

“打破GameFi传统玩法,Umis Friends引领玩赚新趋势”主题AMA活动圆满落幕! 2023年3月25日晚上20点整,Umis Friends官方Discord迎来了一场热闹非凡的AMA活动。此次演讲嘉宾为Umis Friends CTO Mike和中文社区Mod Frank。两位嘉宾为Umis Frien…

关于趋势科技防毒墙网络版的卸载

这个软件我是很佩服 如果不知道密码 卸载很麻烦 网上的方法很多 当然 我这个电脑趋势的卸载 最后成功了 本来是老妈公司的系统 所以说密码不知道 网上最多的情况就是Allow Unistall 的键值不允许由0 改为1 好吧 我也是进了这坑 说说卸载过程 1 1.1 控制面板-&…

EVE-NG 安装

EVE-NG 简介 EVE-NG(全称Emulated Virtual Environment - NextGeneration),继Unetlab 1.0后的Unetlab的2.0新版本,改了名字,原名是UnifiedNetworking Lab统一网络实验室。笔者觉得名字改的非常合理,这款模…

chatgptH5源码开发

hatGPTH5源码开发需要以下步骤: 确定需求:在开发ChatGPTH5应用之前,需要明确用户的需求和目标,以便进行合理的设计和开发。 技术选型:选择适合的前端技术框架和工具,如React、Vue、Angular等&#…

ChatGPT常用的提示语(prompts)系列一

以下内容翻译自:https://github.com/f/awesome-chatgpt-prompts 1、作为Linux终端 英文原文: I want you to act as a linux terminal. I will type commands and you will reply with what the terminal should show. I want you to only reply with…

5个令人惊艳的AI项目,开源了。。

大家好,我是 Jack。 今天清明,小伙伴们都去哪里玩了? 上个月我已经出去浪过了,清明就老实在家歇着了。 翻看了一些最近热点的开源项目,发现还是 AIGC 的天下。 今天,我将继续着重挑选几个近期的优质开源…

替代MySQL半同步,Meta技术团队推出MySQL Raft共识引擎

【CSDN 编者按】Meta运行着世界上最大规模的MySQL部署之一。该部署驱动着社交图谱以及许多其他服务,如消息、广告和动态。在过去几年中,他们实施了MySQL Raft,这是一个与MySQL集成的Raft共识引擎,用于构建复制状态机。目前已大部分…

突然放大,Midjourney 来中国了!

突然放大,Midjourney 来中国了! 一、 Midjourney内测版本的推出 Midjourney,一款新颖的 AI 视觉艺术平台,近日在中国开放了内测版。这个内测版本在 QQ 频道上进行,每周一和周五的 18:00 开放入口,人数一旦满…