記事ディレクトリ
Webセキュリティの簡単な歴史
中国のハッカーの簡単な歴史
啓蒙時代-黄金時代-暗黒時代
Hacker的初心”Open、Share、Free“
ハッカー技術の歴史
ネットワーク、オペレーティングシステム、ソフトウェア、その他のフィールドを攻撃するWebアプリケーションを攻撃する
ブランチデスクトップソフトウェアのセキュリティ
Webセキュリティの台頭
サーバー側の動的スクリプト、SQLインジェクション、XSS(クロスサイトスクリプティング攻撃)、CSRF(クロスサイトリクエストフォージェリ)、その他の攻撃
黒い帽子、白い帽子
- ブラックハット:ハッキング技術を使用して被害を引き起こし、サイバー犯罪を犯す
- ホワイトハット:セキュリティ技術の専門家、アンチハッキングの分野で活躍
セキュリティの本質
- セキュリティ問題の本質はすべて信頼の問題です
- セキュリティは継続的なプロセスです
安全の3つの要素
- 機密性にはデータコンテンツの漏洩からの保護が必要であり、暗号化は機密性要件を達成するための一般的な手段です
- 整合性には、データコンテンツの保護が完全であり、改ざんされていないことが必要です
- 可用性リソースを保護するための要件は「オンデマンド」です
安全評価を実施する方法
1.資産分類
インターネットセキュリティの中心的な問題はデータセキュリティの問題です
- さまざまなデータの重要性を理解し、その後の評価プロセスの方向性を示す
2.脅威分析
危険を引き起こす可能性のあるソースを脅威と呼び、起こり得る損失をリスクと呼びます
- 脅威モデリング(STRIDEモデル)
| 脅かす | 定義 | 対応するセキュリティ属性 |
|---|---|---|
| 迷彩(なりすまし) | 他人になりすます | 認定 |
| 改ざん | データまたはコードを変更する | 完全性 |
| 否認 | あなたがしたことを否定する | 否認防止 |
| 情報開示(InformationDisclosure) | 機密情報の開示 | 守秘義務 |
| サービス拒否 | サービス拒否 | 使いやすさ |
| 権限の昇格(特権の昇格) | 無許可の許可 | 承認する |
脆弱性の定義:システムのどこで危害を加えるために脅威によって使用されるか
3.リスク分析
リスクは次の要素で構成されています。
リスク=確率*損傷の可能性
- リスクモデリング(DEREAD)
| ランク | 高(3) | ミディアム(2) | 低(1) |
|---|---|---|---|
| ダメージポテンシャル | 完全な検証権限の取得、管理者操作の実行、ファイルの違法なアップロード | 機密情報の漏洩 | その他の情報の開示 |
| 再現性 | 攻撃者は自由に再び攻撃できます | 攻撃者は攻撃を繰り返すことができますが、時間制限があります | 攻撃者が攻撃を繰り返すのは難しい |
| 悪用可能性 | 初心者は短時間で攻撃方法を習得できます | 熟練した攻撃者はこの攻撃を完了することができます | 脆弱性条件は非常に厳しいです |
| 影響を受けるユーザー | すべてのユーザー、デフォルト設定、主要ユーザー | 一部のユーザー、デフォルト以外の構成 | 非常に少数のユーザー、匿名ユーザー |
| 発見可能性 | 脆弱性が目立ち、攻撃条件の取得が容易 | プライベートエリアでは、深く掘り下げる必要があることに気づく人もいます。 | 脆弱性を見つけることは非常に困難です |
4.解決策を確認する
- 優れたセキュリティソリューションには、次の特徴があります。
- 優れたユーザーエクスペリエンス
- 問題を効果的に解決できる
- 高性能
- 低カップリング
- 高性能
- 拡張とアップグレードが簡単
ホワイトハットアートオブウォー
デフォルトで保護の原則
- ブラックリスト / ホワイトリスト
ホワイトリスト:ユーザーを渡すように設定します。ホワイトリスト外のユーザーは渡すことができません
ブラックリスト:合格できないユーザーを設定し、ブラックリスト外のユーザーは合格できる
2. 最小特権の原則
最小限の特権の原則では、システムがサブジェクトに必要な権限のみを付与し、過剰な許可を与えず、システム/ネットワーク/.application/データベースエラーの可能性を効果的に減らす必要があります
多層防御
- セキュリティプログラムを異なるレベルと異なる側面で実装して漏れを回避するには、異なるセキュリティプログラムが互いに協力して全体を形成する必要があります。
Webアプリケーションのセキュリティ、OSデータのセキュリティ、データベースのセキュリティ、ネットワーク環境のセキュリティなどがあります。
- 適切な場所で適切なことを行うには、つまり、問題が解決された場所に対象を絞ったセキュリティソリューションを実装する
脅威の性質を深く理解する必要があり、それを解決するのに最適な場所に防御ソリューションを配置する必要があります
データとコードの分離
バッファオーバーフローは、プログラムがこの原則に違反した結果として考えられます。プログラムは、ユーザーデータをスタックまたはヒープ上のコードとして実行します。これにより、コードとデータの境界が混乱し、セキュリティの問題が発生します。
予測不可能性の原則
- 攻撃方法を克服する観点から問題を見る
- 改ざんや偽造攻撃に効果的に抵抗できます
- 予測不能性の実装には、暗号化アルゴリズム、ランダムアルゴリズム、ハッシュアルゴリズムの使用が必要になることがよくあります。この原則をうまく利用すると、セキュリティソリューションの設計をより効率的にすることができます。
まとめ
セキュリティは単純な科学であり、バランスの取れた芸術でもあります。セキュリティの本質を理解するだけで、どんなセキュリティ問題が発生しても、それは好ましくありません。
