1. 前言
有一段時間沒更新了,跟新一下之前的技術文檔,直接上乾貨不講廢話。
2. 威脅建模:
- 每個步驟列出來,功能列出來,這個功能可能會幹什麼事情幹了這個事情會發生什麼潛在威脅。
- 將每個參數及分析,如果不清楚就去建模進行分析過程。
3. 分析路由:
-
判斷關鍵參數:
- C/S之間交互
- 越權控制參數—> 越權
- token之類的檢驗參數—> CSRF
-
還有很多潛在風險比如業務功能可能存在的風險隱患都需要考慮進去,以上只是做個簡單的栗子。
-
下圖是針對於任意密碼修改做的一個威脅建模分析的原理和過程。其實威脅建模的本身就是對於這個功能點想像他會出現哪些潛在漏洞。
![在這裏插入圖片描述]()
