Web应用程序的威胁与对策(2)

目标

使用本模块可以实现：

开始从攻击者的角度考虑问题。 了解在威胁范畴广泛使用的 STRIDE 方法。 识别并应对在网络、主机和应用程序级别存在的威胁。

返回页首

适用范围

Web 应用程序

返回页首

如何使用本模块

本模块介绍了一组普遍的网络、主机和应用程序级别的威胁，还介绍了为解决每种威胁所推荐的对策。

本模块并不包含各种威胁的冗长列表，但它强调了许多最危险的威胁。根据此信息以及有关攻击者工作原理的知识，您可以识别其他威胁。

您需要了解最可能危害系统的威胁，以便建立有效的威胁模型。这些威胁模型是模块 3 威胁建模的主题。

为了充分理解本模块内容，请：

熟悉对您的网络、主机和应用程序造成影响的特定威胁。尽管攻击者的目标是相同的，但对系统各个部分的威胁是不同

的。

使用威胁来识别危险并创建用以应对威胁的计划。 应用对策来消除漏洞。本模块中总结了各种对策。有关对策实现的详细信息，请使用本指南中的第 III 部分“构建安全

的 Web 应用程序”和第 IV 部分“确保您的网络、主机和应用程序的安全”。

当您设计、构建新系统并确保其安全时，请将本模块所介绍的威胁考虑进去。无论使用何种平台或技术，都存在这些威胁。

返回页首

准备工作

开始威胁建模过程之前，理解以下基本术语是至关重要的。

资产。具有价值的资源，如数据库中或文件系统上的数据，或者是系统资源