# Fundamentals of Application Security

## 课程目标

* 识别出应用安全的驱动因素
* 了解应用安全风险管理的基本概念
* 了解应用攻击的剖析和识别出常见的攻击形式
* 确定输入验证的概念，将其作为一种基本的降低风险技术
* 认出关键的安全规则和最佳的开发安全应用的实践

## 模块目标

* 识别攻击者的关键动机
* 重要的安全风险管理的术语和概念
* 管理应用安全风险的关键方法
* 应用安全是指应用程序抵御恶意攻击的能力
* 三个关键的应用安全指标CIA
  * Confidentiality 保密性 防止未经授权披露敏感数据
  * Integrity 完整性 防止未经授权的修改和删除
  * Availability 可用性 保证用户可以正常访问应用及服务
* 安全的重要性
  * 收入损失
  * 声誉影响
  * 客户重视
* 越早介入安全越好
* 为什么会被攻击
  * 黑市换钱
  * 黑客技术难度降低
  * 攻击目标变多了
* 安全风险管理的一些概念和术语
  * Vulnerability 漏洞 程序中的弱点，可能是设计缺陷
  * Exploit 利用，漏洞利用   恶意程序或者一组用于利用程序的漏洞命令
  * Countermeasure 对策 解决或减少漏洞带来的危害
  * Threat/ Threat Agent 威胁/威胁代理 利用漏洞引起程序的不可预期行为
  * Attack 攻击 利用漏洞实现威胁
  * Asset 资产 系统中有价值的资源
  * Risk 风险 资产损失的可能性
* 风险管理
  * Accept risk 接受风险 处理成本大于要保护的资产价值，但是要有应急预案
  * Avoid risk 避免风险 移除组件甚至移除资产
  * Transfer risk 
  * Mitigate risk