hunting security bugs讀書筆記(1)
chap 1.
通用方法:
1、深入理解被測試物
需要理解目標程式是如何工作的。,然後通過實踐去證明自己的想法是否正確。
2、對目標邪惡
3、把邪惡的想法付諸行動
4、學習新的攻擊方法
chap 2.
對安全測試使用Threat Models.
Threat Models是這樣的一個過程,使用這個過程可以大致瞭解軟體是如何工作的,軟體的工作受什麼影響,資料是如何輸入和輸出的,能夠列出可能的安全威脅。
可以參考兩本書 Writing Secure Code和The Security Development Lifecycle
Threat models(TMs)通常包含三部分:
1、資料流圖
2、入口和出口的列表
3、可能的安全威脅列表
STRIDE
Spoofing 哄騙
Tampering with data 篡改資料
Repudiation 批判 是否可以知道使用者做了哪些操作?例如,重要的操作是不是寫了日誌?日誌是否準確?
Information disclosure 資訊暴露
Denial of service 拒絕服務
Elevation of privilege 提升許可權。
chap 6 哄騙
1、檢視所有的攻擊者可以控制的資料
2、深入理解使用的協議。
3、使用二進位制編輯器修改攻擊者可以修改的檔案。
4、嘗試所有的ascii字元(0x00-0xff)
5、如果支援unicode,就使用unicode字元
6、在輸入中使用CR/LFs,nulls,tabs等控制字元。
7、使用誤導性的輸入。(URLs或檔名)
相關文章
- 《Google File System》讀書筆記(1)Go筆記
- 讀書筆記-資訊收集1筆記
- spring boot實戰讀書筆記(1)Spring Boot筆記
- 諾埃爾的讀書筆記1筆記
- 《程式碼大全》讀書筆記1(1-4)筆記
- 讀書筆記筆記
- 《讀書與做人》讀書筆記筆記
- 【Programming in Lua1-7章】讀書筆記筆記
- 程式碼整潔之道--讀書筆記(1)筆記
- webpackDemo讀書筆記Web筆記
- Vue讀書筆記Vue筆記
- 散文讀書筆記筆記
- Cucumber讀書筆記筆記
- HTTP 讀書筆記HTTP筆記
- postgres 讀書筆記筆記
- 讀書筆記2筆記
- 讀書筆記3筆記
- 小程式讀書筆記(1)常見問題筆記
- 聰明的投資者讀書筆記1筆記
- 快樂的Linux命令列--讀書筆記1Linux命令列筆記
- js高程讀書筆記JS筆記
- 《論語》讀書筆記筆記
- 《重構》讀書筆記筆記
- PMBook讀書筆記(一)筆記
- 閱讀筆記1筆記
- 《如何有效閱讀一本書》讀書筆記筆記
- 深入理解java虛擬機器——讀書筆記1Java虛擬機筆記
- 14-《ARKit by Tutorials》讀書筆記1:開始入門筆記
- 張紹文android開發高手課讀書筆記1Android筆記
- fluent python讀書筆記2—Python的序列型別1Python筆記型別
- MySQL 8.0 Reference Manual(讀書筆記54節--Optimization and Indexes(1))MySql筆記Index
- [轉帖]System Performance 讀書筆記 - 作業系統(1)ORM筆記作業系統
- MySQL 8.0 Reference Manual(讀書筆記39節-- Data Types(1))MySql筆記
- 《將心注入》讀書筆記筆記
- Raft論文讀書筆記Raft筆記
- 讀書筆記-沒有空白筆記
- JVM讀書筆記之OOMJVM筆記OOM
- swift語法-讀書筆記Swift筆記
- 【GO】《GO HANDBOOK》讀書筆記Go筆記