软件安全策略共享
发布时间:2022-06-01 09:29:08 所属栏目:安全 来源:互联网
导读:我想作为一个信息安全从业者,无论是在渗透测试、代码审计亦或是其他安全服务中都会接触到各种各样的漏洞。把这些漏洞进行简单分类可能能够得到几十类漏洞,当然几乎所有的漏洞类型在common Weakniss Enumeration都有相应的描述。 面对类型如此丰富漏洞,我
|
我想作为一个信息安全从业者,无论是在渗透测试、代码审计亦或是其他安全服务中都会接触到各种各样的漏洞。把这些漏洞进行简单分类可能能够得到几十类漏洞,当然几乎所有的漏洞类型在common Weakniss Enumeration都有相应的描述。 面对类型如此丰富漏洞,我们要如何进行处理呢? 要知道人类的本质是懒惰,逐条进行分析验证几乎是不可能的。而且渗透测试、红蓝对抗等服务在本质上都是为了达到以点带面的目的,那么这个面在哪里是值得我们去思考的问题。 废话扯完了,进入正题。 安全策略清单 本文所说的安全策略,即系统采用的方式用于处理可能存在的安全风险。 1. 概念 在虚拟世界中的身份认证同现实世界中一样,首先需要识别人,建立在识别的基础能够去开展各项业务,产生、处理、使用、存储数据。 只是目前而言,由于你是真实存在的,不会出现类似于证明你是你问题,而虚拟身份的更像是一个物化的概念,那么身份认证就是能够证明虚拟身份是属于现实的你。 所以在虚拟世界这是一个必须要解决的问题——如何让真实的你与虚拟世界中虚拟的你进行绑定。 那么最直接的方式就是提供秘密——只有账号的拥有者持有的信息。例如在账号注册时输入的密码信息、密保信息 换句话说,在虚拟的世界中只要能够提供账号的相关的秘密信息,就能声明账号的所有权。因为对于全知全能的程序而言,它都是仅仅收到了这个秘密,你和他并没有区别。 (编辑:东莞站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐