带你读《Apache Tomcat的云原生演进》——Secure By Default Web Applications Apache Sling-Robert Munteanu(2)https://developer.aliyun.com/article/1377439
3. 威胁建模示例
当在进行威胁建模时,我发现查看数据流图很有用。在应用程序中,一方面我们有内容存储库,另一方面我们有内容作者创建文章。通过身份验证的用户,可以发表评论,未经验证的用户可以读取内容作者和经过身份验证用户拥有的内容创作。
看看这些数据流,我认为我们面临许多威胁,我们可以添加在库存中,在目录中。即使我们相信我们的作者,给他们更高的评价权利,但并不意味着我们完全信任他们。心怀不满的员工或者合作者,承包商的情况非常普遍。
我们的第一个威胁是恶意内容添加者,你会注意到我添加了一个代码A03:202注入。它来自代码,OWASP,十大 web 应用程序的安全问题,当你试图确定应用程序是否安全时,这是一个非常有用的资源。当然,经过身份验证的用户发表评论也可以添加恶意内容,这里讨论的不一定是信息的误传。我说的是注入 HTML 和 JavaScript 可能导致跨站点脚本攻击。
与添加恶意内容的方式相同,即使有权限,一些用户也可以避开对我们应用程序的访问控制,并且经过身份验证或未经身份验证的用户可能会进行未经授权的更改,这是我们需要警惕的。
访问控制方面的问题是经过身份验证的用户删除评论,要么对我们网站的评论仅限张贴,拒绝服务有时可以在应用程序级别处理。例如,有人创建了一个发布成百上千的帖子评论的机器人,这会使我们的数据库过载,使页面加载非常慢等等。
除非得到明确的授权,否则提取个人身份数据可能会影响我们在应用程序方面的安全态势。当然,我们会这样威胁建模,试图只捕获在应用程序级别上活动的问题。许多问题,特别是可用性方面的问题,是在基础设施级别处理的。例如,在分布式拒绝服务方面,我们在应用程序级别能做的很少,这主要是您的主机提供商或您的网络互联处理应该有足够的带宽来吸收 DDOS。
带你读《Apache Tomcat的云原生演进》——Secure By Default Web Applications Apache Sling-Robert Munteanu(3)https://developer.aliyun.com/article/1377436
