hunting security bugs讀書筆記(1)
chap 1.
通用方法:
1、深入理解被測試物
需要理解目標程式是如何工作的。,然後通過實踐去證明自己的想法是否正確。
2、對目標邪惡
3、把邪惡的想法付諸行動
4、學習新的攻擊方法
chap 2.
對安全測試使用Threat Models.
Threat Models是這樣的一個過程,使用這個過程可以大致瞭解軟體是如何工作的,軟體的工作受什麼影響,資料是如何輸入和輸出的,能夠列出可能的安全威脅。
可以參考兩本書 Writing Secure Code和The Security Development Lifecycle
Threat models(TMs)通常包含三部分:
1、資料流圖
2、入口和出口的列表
3、可能的安全威脅列表
STRIDE
Spoofing 哄騙
Tampering with data 篡改資料
Repudiation 批判 是否可以知道使用者做了哪些操作?例如,重要的操作是不是寫了日誌?日誌是否準確?
Information disclosure 資訊暴露
Denial of service 拒絕服務
Elevation of privilege 提升許可權。
chap 6 哄騙
1、檢視所有的攻擊者可以控制的資料
2、深入理解使用的協議。
3、使用二進位制編輯器修改攻擊者可以修改的檔案。
4、嘗試所有的ascii字元(0x00-0xff)
5、如果支援unicode,就使用unicode字元
6、在輸入中使用CR/LFs,nulls,tabs等控制字元。
7、使用誤導性的輸入。(URLs或檔名)
相關文章
- FPGA讀書筆記1FPGA筆記
- 讀書筆記-資訊收集1筆記
- 星白贈書之讀書筆記(1)筆記
- 《Google File System》讀書筆記(1)Go筆記
- fluent python 讀書筆記 1Python筆記
- 【《TOP》讀書筆記】<1> Performance Problems筆記ORM
- week1讀構建之法-讀書筆記筆記
- 《未來簡史》讀書筆記(1)筆記
- 讀書筆記【1】 Grand Central Dispatch筆記
- 《禪者的初心》讀書筆記(1)筆記
- 讀書筆記筆記
- 讀書筆記...筆記
- spring boot實戰讀書筆記(1)Spring Boot筆記
- 聰明的投資者讀書筆記1筆記
- 《Docker容器和容器雲》讀書筆記(1)Docker筆記
- Spring4讀書筆記(1)-模組Spring筆記
- http協議讀書筆記1-概述HTTP協議筆記
- 轉載大師的讀書筆記 1筆記
- <轉>oracle效能調整讀書筆記(1)Oracle筆記
- Cucumber讀書筆記筆記
- 散文讀書筆記筆記
- HTTP 讀書筆記HTTP筆記
- CoreJava讀書筆記-------Java筆記
- flask讀書筆記Flask筆記
- Vue讀書筆記Vue筆記
- MONGODB 讀書筆記MongoDB筆記
- Qt讀書筆記QT筆記
- Node讀書筆記筆記
- SAP讀書筆記筆記
- YII讀書筆記筆記
- iptables 讀書筆記筆記
- Makefile 讀書筆記筆記
- mysql讀書筆記MySql筆記
- 鎖讀書筆記筆記
- dataguard讀書筆記筆記
- 小程式讀書筆記(1)常見問題筆記
- 【Programming in Lua1-7章】讀書筆記筆記
- 讀書筆記1——《人人都是產品經理》筆記