Fundamentals of Application Security

课程目标

  • 识别出应用安全的驱动因素

  • 了解应用安全风险管理的基本概念

  • 了解应用攻击的剖析和识别出常见的攻击形式

  • 确定输入验证的概念,将其作为一种基本的降低风险技术

  • 认出关键的安全规则和最佳的开发安全应用的实践

模块目标

  • 识别攻击者的关键动机

  • 重要的安全风险管理的术语和概念

  • 管理应用安全风险的关键方法

  • 应用安全是指应用程序抵御恶意攻击的能力

  • 三个关键的应用安全指标CIA

    • Confidentiality 保密性 防止未经授权披露敏感数据

    • Integrity 完整性 防止未经授权的修改和删除

    • Availability 可用性 保证用户可以正常访问应用及服务

  • 安全的重要性

    • 收入损失

    • 声誉影响

    • 客户重视

  • 越早介入安全越好

  • 为什么会被攻击

    • 黑市换钱

    • 黑客技术难度降低

    • 攻击目标变多了

  • 安全风险管理的一些概念和术语

    • Vulnerability 漏洞 程序中的弱点,可能是设计缺陷

    • Exploit 利用,漏洞利用 恶意程序或者一组用于利用程序的漏洞命令

    • Countermeasure 对策 解决或减少漏洞带来的危害

    • Threat/ Threat Agent 威胁/威胁代理 利用漏洞引起程序的不可预期行为

    • Attack 攻击 利用漏洞实现威胁

    • Asset 资产 系统中有价值的资源

    • Risk 风险 资产损失的可能性

  • 风险管理

    • Accept risk 接受风险 处理成本大于要保护的资产价值,但是要有应急预案

    • Avoid risk 避免风险 移除组件甚至移除资产

    • Transfer risk

    • Mitigate risk

PreviousSecurity TrainingNextFundamentals of Secure Development

Last updated