STRIDE威脅分析
|
威脅 |
定義 |
對應的安全屬性 |
|
Spoofing(僞裝) |
冒充他人身份 |
認證 |
|
Tampering(篡改) |
修改數據或代碼 |
完整性 |
|
Repudiation(抵賴) |
否認做過的事 |
不可抵賴性 |
|
Information Disclosure(信息泄露) |
機密信息泄露 |
機密性 |
|
Denial of Service(拒絕服務) |
拒絕服務 |
可用性 |
|
Elevation of Privilege(提升權限) |
未經授權獲得許可 |
授權 |
DREAD威脅評價
|
等級 |
高(3) |
中(2) |
低(1) |
|
危害性 |
獲取完全驗證權限,執行管理員操作,非法上傳文件 |
泄露敏感信息 |
泄露其他信息 |
|
重複再現性 |
攻擊者可以隨意再次攻擊 |
攻擊者可以重複攻擊,但有時間限制 |
攻擊者很難重複攻擊過程 |
|
利用難度 |
初學者短期能掌握攻擊方法 |
熟練的攻擊者才能完成這次攻擊 |
漏洞利用條件非常苛刻 |
|
受影響的客體 |
所有用戶,默認配置,關鍵用戶 |
部分用戶,非默認配置 |
極少數用戶,匿名用戶 |
|
發現難度 |
漏洞很顯眼,攻擊條件很容易獲得 |
在私有區域,部分人能看到,需要深入挖掘漏洞 |
發現漏洞極其困難 |