51Testing软件测试论坛

 找回密码
 (注-册)加入51Testing

QQ登录

只需一步,快速开始

微信登录,快人一步

手机号码,快捷登录

查看: 7339|回复: 19
打印 上一主题 下一主题

[原创] 安全测试系列一:用实例来解释安全威胁分类 (STRIDE)

[复制链接]

该用户从未签到

跳转到指定楼层
1#
发表于 2008-11-21 10:12:47 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
aaa

[ 本帖最后由 cleverman 于 2009-1-18 00:55 编辑 ]
分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
收藏收藏
回复

使用道具 举报

该用户从未签到

2#
发表于 2008-11-21 11:04:25 | 只看该作者
这方面我涉猎比较少,很感兴趣,期待后文。
回复 支持 反对

使用道具 举报

该用户从未签到

3#
发表于 2008-11-21 14:44:47 | 只看该作者
DOS的拒绝服务,貌似应该是主动的去建立大量的无效连接,耗服务器资源吧。。
一套硬防百来W,就可以搞定这问题。
回复 支持 反对

使用道具 举报

该用户从未签到

4#
发表于 2008-11-21 17:41:17 | 只看该作者
好久没看到cleverman你的文章了,想不到你转安全测试了,一直向你看齐,你的个人轨迹指引着我。嘿嘿。我是信息安全专业出生的,现在也特别关注安全性测试。公司做的是电子商务的产品,一致在看这方面的书籍。希望你提供些你在学习安全测试中遇到的比较好的书籍和资料!让我们少走点弯路。万分感谢!
回复 支持 反对

使用道具 举报

该用户从未签到

5#
 楼主| 发表于 2008-11-22 06:04:07 | 只看该作者
原帖由 行走在杭州 于 2008-11-21 14:44 发表
DOS的拒绝服务,貌似应该是主动的去建立大量的无效连接,耗服务器资源吧。。
一套硬防百来W,就可以搞定这问题。


你说的是第二种。
回复 支持 反对

使用道具 举报

该用户从未签到

6#
 楼主| 发表于 2008-11-22 06:08:03 | 只看该作者
原帖由 musk 于 2008-11-21 17:41 发表
好久没看到cleverman你的文章了,想不到你转安全测试了,一直向你看齐,你的个人轨迹指引着我。嘿嘿。我是信息安全专业出生的,现在也特别关注安全性测试。公司做的是电子商务的产品,一致在看这方面的书籍。希望你提 ...


个人推荐《Writing Secure Code》和《Hunting Security Bug》
我看国内安全测试领域很崇尚Symantec的《The Art of Software Security Test》,这本书我觉得很一般,入门看看还行,靠它去测试就不行了。
回复 支持 反对

使用道具 举报

该用户从未签到

7#
发表于 2008-11-22 11:32:07 | 只看该作者
有意思!
回复 支持 反对

使用道具 举报

该用户从未签到

8#
发表于 2008-11-23 19:54:41 | 只看该作者
原帖由 行走在杭州 于 2008-11-21 14:44 发表
DOS的拒绝服务,貌似应该是主动的去建立大量的无效连接,耗服务器资源吧。。
一套硬防百来W,就可以搞定这问题。


对于真正的DDOS攻击,这样的硬件没有意义~
回复 支持 反对

使用道具 举报

该用户从未签到

9#
发表于 2008-11-23 19:56:45 | 只看该作者
其实看了挺多攻击手法,安全威胁方式的,个人感觉最牛的还是:社会工程学~
回复 支持 反对

使用道具 举报

该用户从未签到

10#
 楼主| 发表于 2008-11-24 03:14:17 | 只看该作者
原帖由 xiaoyaoke 于 2008-11-23 19:56 发表
其实看了挺多攻击手法,安全威胁方式的,个人感觉最牛的还是:社会工程学~


我觉得社会工程学是因为在在技术上无法实现攻击而想出来的骗人办法,对于普通用户具有很大的威胁,但是对于专业人员威胁性就要小多了。当然,骗人的手段也是层出不穷,能想到一个新的,迷惑性大的方法也是很不容易的,虽然不是技术上的难度,但是也完全可以等同了。由于现在大家对软件的安全性越来越重视,以后的攻击很可能主要集中在社会工程学方面了,这也是安全领域的一个新的挑战。目前的软件防御措施基本上不能有效抵挡。Vista的UAC本来应该是一个比较好的措施,可惜没能被大众所理解,很多人都禁用了。
回复 支持 反对

使用道具 举报

该用户从未签到

11#
 楼主| 发表于 2008-11-24 03:27:58 | 只看该作者
原帖由 xiaoyaoke 于 2008-11-23 19:54 发表


对于真正的DDOS攻击,这样的硬件没有意义~


我不是搞防火墙的,我感觉防火墙应该很难拒绝合法包。你是不是这个意思呢?
回复 支持 反对

使用道具 举报

该用户从未签到

12#
发表于 2008-11-24 16:40:11 | 只看该作者
有僵尸网络的毕竟是少数,用上硬防,没多少能攻的破的。
回复 支持 反对

使用道具 举报

该用户从未签到

13#
发表于 2008-11-24 16:47:51 | 只看该作者
原帖由 xiaoyaoke 于 2008-11-23 19:54 发表


对于真正的DDOS攻击,这样的硬件没有意义~


你觉得什么才是真正的DDOS?
回复 支持 反对

使用道具 举报

该用户从未签到

14#
发表于 2008-12-5 22:59:05 | 只看该作者
原帖由 行走在杭州 于 2008-11-24 16:47 发表


你觉得什么才是真正的DDOS?


前阵子爆的丑闻听说了吗?那些音像制品公司雇佣专业的黑客去DOS BT的服务器
你能说他们没加硬防吗?
回复 支持 反对

使用道具 举报

该用户从未签到

15#
发表于 2008-12-5 23:04:49 | 只看该作者
现在安全的焦点基本转向了,之前大家都很关注操作系统的漏洞,可是现在操作系统的可利用漏洞越来越少了,就哪今年来说吧,也就爆了个MS08-067吧,高危漏洞,而且是在微软黑屏时候出现的,呵呵,所以N多人怀疑是微软的策略.而且现在杀毒软件的发展,启发式杀毒,虚拟技术查毒等等办法让传统意义的病毒很难遁形.
懒得说话了,不说了
回复 支持 反对

使用道具 举报

该用户从未签到

16#
发表于 2009-1-1 21:38:36 | 只看该作者

回复 10# 的帖子

社会工程学, 将黑客攻防的层面,提升到了人的层面.  好比战争, 有时候,直接分析 对手,擒贼先擒王,比找对手行军布阵的漏洞, 攻打对手坚固的城墙和消灭千军万马更直接.
工具只是节省时间,技术也只是手段,智力的对抗,知己知彼的较量才是安全的根本.


另外,解释下.ddos攻击是 消耗带宽的.
cc攻击是消耗服务器资源的. 他们都是属于 dos攻击的.

都能实现  让正常 用户 无法 访问的效果.

楼主 实施的 攻击不属于 这两种,更多是 类似 自动发帖机 等网络营销功能软件,  不会影响到其他人来访问和发帖子. 目前很多论坛遭受此类 骚扰,增加垃圾帖子而已,导致管理员每天增加一个工作就是要删除大量垃圾帖子.
百度贴吧,也遭受过此类 骚扰.

[ 本帖最后由 chen13 于 2009-1-1 21:48 编辑 ]
回复 支持 反对

使用道具 举报

该用户从未签到

17#
发表于 2009-1-1 21:44:40 | 只看该作者
另外,我发现 楼主 的有段 描述 "我可以用任何人的ID去发言.另外,我只能使用其他人的ID发言,我也尝试过找出他们的漏洞去使用管理员的权限去做些事情,比如删贴子,封ID,IP等等,不过没有成功。"

这应该是cookies欺骗, 但是,你只是在前台 发发言什么的. 如果你能成功欺骗进 管理后台 ,你应该可以 使用管理员的权限.


仅仅是讨论下,希望楼主和大家批评和指正
回复 支持 反对

使用道具 举报

该用户从未签到

18#
发表于 2009-1-1 22:03:02 | 只看该作者
原帖由 小九 于 2008-12-5 23:04 发表
现在安全的焦点基本转向了,之前大家都很关注操作系统的漏洞,可是现在操作系统的可利用漏洞越来越少了,就哪今年来说吧,也就爆了个MS08-067吧,高危漏洞,而且是在微软黑屏时候出现的,呵呵,所以N多人怀疑是微软的策略.而 ...



说得有点前言不搭后语.楼主是提安全测试, 安全的焦点的确以前更多是系统漏洞,现在web安全问题也引起了广泛的关注,但是关注系统漏洞,保证系统的更新,都是任何使用电脑或维护服务器的人员必须时刻做的事情.  2008年 windows系统漏洞不仅仅只是 MS08-067  系统漏洞 为什么又提到 反病毒软件,跳跃性较大.
回复 支持 反对

使用道具 举报

该用户从未签到

19#
发表于 2012-12-5 17:01:36 | 只看该作者
{:4_84:}
回复 支持 反对

使用道具 举报

该用户从未签到

20#
发表于 2012-12-13 20:01:58 | 只看该作者
{:4_83:}
回复 支持 反对

使用道具 举报

本版积分规则

关闭

站长推荐上一条 /1 下一条

小黑屋|手机版|Archiver|51Testing软件测试网 ( 沪ICP备05003035号 关于我们

GMT+8, 2024-11-25 19:40 , Processed in 0.083770 second(s), 27 queries .

Powered by Discuz! X3.2

© 2001-2024 Comsenz Inc.

快速回复 返回顶部 返回列表