STRIDE威脅分析
| 威脅 |
定義 |
對應的安全屬性 |
| Spoofing(偽裝) |
冒充他人身份 |
認證 |
| Tampering(篡改) |
修改數據或代碼 |
完整性 |
| Repudiation(抵賴) |
否認做過的事 |
不可抵賴性 |
| Information Disclosure(信息泄露) |
機密信息泄露 |
機密性 |
| Denial of Service(拒絕服務) |
拒絕服務 |
可用性 |
| Elevation of Privilege(提升權限) |
未經授權獲得許可 |
授權 |
DREAD威脅評價
| 等級 |
高(3) |
中(2) |
低(1) |
| 危害性 |
獲取完全驗證權限,執行管理員操作,非法上傳文件 |
泄露敏感信息 |
泄露其他信息 |
| 重復再現性 |
攻擊者可以隨意再次攻擊 |
攻擊者可以重復攻擊,但有時間限制 |
攻擊者很難重復攻擊過程 |
| 利用難度 |
初學者短期能掌握攻擊方法 |
熟練的攻擊者才能完成這次攻擊 |
漏洞利用條件非常苛刻 |
| 受影響的客體 |
所有用戶,默認配置,關鍵用戶 |
部分用戶,非默認配置 |
極少數用戶,匿名用戶 |
| 發現難度 |
漏洞很顯眼,攻擊條件很容易獲得 |
在私有區域,部分人能看到,需要深入挖掘漏洞 |
發現漏洞極其困難 |