Web应用程序的威胁与对策(5)

符串和连接详细信息）以及脆弱的异常处理（它可能导致内部系统级别的详细信息暴露给客户端）。这些信息中的任何

内容对攻击者都非常有用。

拒绝服务。拒绝服务是使系统或应用程序不可用的过程。例如，拒绝服务攻击可能通过以下途径实现，使用请求轰击服

务器以耗费所有可用的系统资源，或者向其传输可使应用程序进程崩溃的破坏性的输入数据。

特权提升。当具有有限特权的用户冒充具有高级特权的用户来获得应用程序的特权访问权时，会发生特权提升。例如，

具有有限特权的攻击者可能提升其特权级别以危害并控制具有高级别特权且受信任的进程或帐户。

STRIDE 威胁和对策

STRIDE 所描述的每种威胁类别都有相应的一套用以降低危险的对策技术。表 2.1 汇总了这些技术。相应的对策取决于特定的攻击。适用于网络、主机和应用程序级别的更多威胁、攻击和对策将在本模块的后面部分介绍。

表 2.1：STRIDE 危险和对策

返回页首 网络威胁和对策