【STRIDE】【1】安全威脅分析設計

       隨著智慧終端的越來越普及，很多城市都開放了Wifi熱點，比如週末陪女朋友去香港購物，女朋友去各大商場Shoping，我們這些研發絲們就可以找個咖啡館使用免費的Wifi上網。

       有沒有想過你所使用的Wifi熱點有可能並不是香港政府提供的，而是黑客們搭建的（仿冒Wifi），目的在你傻呵呵地使用免費的行動午餐進行購物時，讀取你手機的支付寶賬號和密碼。

       儘管HTTPS或IPSec早已推出，但你會發現很多企業網站的訪問依舊使用HTTP建立連線，眾所周知HTTP連線並不安全，因為通過Sniffer工具可以嗅探到通訊層的內容。

       比如你和你的小女朋友都使用微信，你通過手機發的資訊都會經過騰訊伺服器然後再到達你女朋友的手機終端，同理你女朋友通過手機發的資訊也會經過騰訊伺服器再到達你的手機終端。試想你本打算約女朋友在深圳香蜜湖吃飯，但黑客在你發向騰訊伺服器的過程中把內容截獲並篡改，改為約請你女朋友在福田星河Cocopark吃飯，然後把篡改後的內容再發向騰訊伺服器，可以想像你女朋友在Cocopark左顧右盼的場景，親，你就等著分手吧。

      這個好理解，所謂抵賴就是賴皮，你明明檢視了女朋友手機中的內容，被女朋友發現後，你卻始終說沒有檢視，這個過程就是抵賴。

      至於她會不會跟你分手，這就不是抵賴所負責的了，哈哈，所以兩人相處關鍵就在於相信。

      在篡改的舉例中說到黑客擷取了你約女朋友吃飯的資訊，這個就屬於資訊洩露，只不過篡改在資訊洩露的基礎上對資訊進一步進行了篡改；

      另外，前段時間攜程網暴露了使用者的借記卡賬號，本來屬於攜程網系統本身的資訊，但由於列印日誌沒有做好許可權管理，導致了攜程使用者的資訊洩露。

      好容易與女朋友談的八字有一撇了，準備十月一回家見父母，那我們們研發絲們得上12306買個票吧， 正在興奮地刷票時，突然發現12306網站上不去了，同時線上刷票的使用者太多，導致12306系統崩潰了，也就是說12306拒絕服務了，我勒了個去，這個戀愛談的好曲折。

       女朋友也談上了，男人的財務要上交了吧，結果自己的銀行借記卡及賬號，以及女朋友本身的銀行借記卡及賬號都歸她了，所以說做個好男人太難了。

       突然有一天你女朋友哭著告訴你，你的銀行借記卡和她的銀行借記卡都被別人盜了，本來她只需要掌握她的銀行借記卡就行，那麼即使被盜也只損失她的，不至於把你的也損失掉，這個就是典型的許可權提升。

       女朋友的許可權提升，從管理個人到管理兩個人，一旦發生損失那就是兩個人的損失。