freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內(nèi)容

網(wǎng)絡(luò)安全-網(wǎng)絡(luò)攻擊手段分析與對(duì)策(參考版)

2025-01-27 16:58本頁(yè)面
  

【正文】 使用有效的 XML進(jìn)行描述 ? 包括系譜相關(guān)的 DTD ? 將會(huì)在這本 “ 書 ” 中論證 新類型( 3) 美國(guó)電腦緊急應(yīng)變團(tuán)隊(duì)( CERT) VDA類型族,包括以下 這些類型(迄今為止): ? 缺陷 ? 缺陷-屬性 ? 缺陷-指示器 ? 發(fā)現(xiàn)-技術(shù) ? 通道 ? 工程-習(xí)慣用語(yǔ) ? 工程-樣式 ? 攻擊(外部的與 CVE相關(guān)) ? 設(shè)計(jì) - 原則(或者是設(shè)計(jì)-妨礙) 缺陷 它描述每一個(gè)缺陷 與攻擊相比,它具有很大的詳細(xì)水平 ? 一些缺陷可能會(huì)產(chǎn)生相同的攻擊 它有 13個(gè)外在的屬性 它有 1個(gè)內(nèi)在的屬性 ? 它是一個(gè)真正的 “ 缺陷-屬性 ” 的無(wú)序設(shè)置 ? 它一起描述了缺陷的精確的本質(zhì) ? 它是作為一個(gè)大的邏輯與( AND)的 - ORS是不允許的 - ORS是單獨(dú)的缺陷 缺陷-屬性 缺陷屬性的例子: ? - store(存儲(chǔ)) - ( stack)堆棧-列-目標(biāo) - 多單元-列-操作 - 未經(jīng)檢查的-操作 - 輸入-來(lái)源 - 對(duì)手-輸入 - 清晰的-范圍 邏輯與( AND) ? 它用于根據(jù)缺陷分類法動(dòng)態(tài)的計(jì)算類似處 缺陷-指示器 缺陷指示器的例子: ? - 分割-錯(cuò)誤 - 總線-故障 - 變量-錯(cuò)誤 - 不穩(wěn)定的-行為 - 無(wú)限的-循環(huán) 邏輯或( OR) ? 這樣,就不能被用作固有的屬性了 發(fā)現(xiàn)-技術(shù) 缺陷發(fā)現(xiàn)技術(shù)的例子 ? - - - - - - 通道 通道的例子 ? 命令行 ? 環(huán)境 ? 繼承的進(jìn)程關(guān)聯(lián) - 文件 /目錄創(chuàng)建 默認(rèn)通道控制 - 信號(hào)設(shè)置 - 程序優(yōu)先權(quán) - 資源限制 - 鑒定證書 - 當(dāng)前工作目錄 - 打開(kāi)文件描述符 - 系統(tǒng)調(diào)用結(jié)果 - 插槽 - 管道 - 共享內(nèi)存 - 信號(hào) - 永久存儲(chǔ)器 ? 比如寄存器 - 文件存在 - 文件信息 ? 系統(tǒng) I/O 工程-習(xí)慣用語(yǔ) 工程習(xí)慣用語(yǔ)的例子 ? ANSI C沒(méi)有原型 ? ANSI C/ C++ 指針?biāo)惴? ? ANSI C/ C++ 在{堆棧,堆積,靜態(tài)}存儲(chǔ)器中的字符串 ? ANSI C 有正負(fù)號(hào) /無(wú)正負(fù)號(hào)混合算法 ? Java 并發(fā)沒(méi)有保護(hù)的對(duì)象 ? 土生的密碼算法 ? 公眾可寫的對(duì)象屬性 ? 對(duì)象存取器到專用屬性的返回指針 ? 除非管理者泄露整體資源分配 ? C++對(duì)象使用專用成員指針和非默認(rèn)的構(gòu)造器 工程樣式的例子 ? 不完全的授權(quán) 攻擊 例子: ? 緩沖區(qū)溢出 ? 格式行 ? cross- sight腳本 ? SQL 注入 ? 共享的可寫目錄 TOCTOU race 設(shè)計(jì)-原則 我們將單獨(dú)地講述所有的設(shè)計(jì)原則 IA是藝術(shù),而不是科學(xué) 請(qǐng)習(xí)慣于這一點(diǎn) 攻擊分析社團(tuán)已經(jīng)非常清楚了這一點(diǎn), 但是,軟件工程社團(tuán)還沒(méi)有清楚這一點(diǎn) 明確的管理風(fēng)險(xiǎn) 風(fēng)險(xiǎn)是如下列出的某種功能: ? 事件的可能性 ? 事件的結(jié)果(代價(jià)) - 如果可能性約等于 0,那么風(fēng)險(xiǎn)是可以的( OK) - 如果結(jié)果(代價(jià))約等于 0,那么風(fēng)險(xiǎn)是可以的( OK) - 其它情況下,就必須把風(fēng)險(xiǎn)降低 現(xiàn)實(shí)的敵手模型對(duì)下述列出的情況是必要的 ? 要確定特定的風(fēng)險(xiǎn) ? 要模擬可能性和結(jié)果 首先要消除最高的風(fēng)險(xiǎn) 先前的經(jīng)驗(yàn)的邏輯結(jié)果 ? 一旦確定并且量化了風(fēng)險(xiǎn)后,只有當(dāng)把它們從最高到最低的風(fēng)險(xiǎn)處理時(shí),才是敏感的 這就是 “ 最薄弱的鏈接 ” 思想 深入的實(shí)行防御 當(dāng)設(shè)計(jì)系統(tǒng)特征時(shí),而又必須包含一個(gè)攻 擊特征時(shí) ? 包括潛在的多余的特征,它們會(huì)減少攻擊特征的范圍,性能,持續(xù)時(shí)間等其它方面 ? 這是一般的攻擊分析和系統(tǒng)管理思想 ? 它并不是一般的軟件工程思想 - 只有容錯(cuò)社團(tuán)曾經(jīng)這樣想過(guò) 審計(jì)所有的通道 在你的系統(tǒng)上,通道是攻擊唯一的通路 ? 完全的保護(hù)這些通道,那樣你的系統(tǒng)將會(huì)受到完全的保護(hù) 假設(shè)你的敵手可以協(xié)調(diào)的操作你所有的通道 將你的系統(tǒng)的通道最小化,從而將攻擊 的通路也降到最低 保證完全 你的系統(tǒng)必須總是處在一種安全的狀態(tài)下 每一個(gè)潛在的不安全的轉(zhuǎn)變都必須檢測(cè)其安全性 任何一個(gè)安全喪失的證據(jù)都意味著系統(tǒng)的完 全性的喪失 如果安全不能夠得到保證或者是不能夠被完 全的恢復(fù),那么,系統(tǒng)必須自行終止 甚至以可用性為代價(jià) ? 由定義,一個(gè)可用的危及安全的系統(tǒng)比一個(gè)不可用的 系統(tǒng)更糟糕 攻擊 /侵?jǐn)_的工程師 當(dāng)設(shè)計(jì)系統(tǒng)時(shí),一定要包括可以對(duì)假 定的攻擊和侵?jǐn)_進(jìn)行斷定的真實(shí)的儀器 儀器應(yīng)該 ? 安全的記錄潛在的攻擊和侵?jǐn)_信息 ? 不將自己暴露給敵手 ? 不向系統(tǒng)添加攻擊 使用最小的權(quán)限 為你的系統(tǒng)授予它可以進(jìn)行操作所能使用 的最小的權(quán)限 在任何一個(gè)給定點(diǎn)處獲得和丟棄權(quán)限,系統(tǒng) 只具有完成它正忙于的任務(wù)的權(quán)限 用戶權(quán)限的分離 如果你的系統(tǒng)需要在不同的時(shí)間具有不 同的權(quán)限,那么,就可以考慮將系統(tǒng)分割 成幾個(gè)清楚的互相聯(lián)系的子系統(tǒng),每個(gè)子 系統(tǒng)具有一個(gè)適當(dāng)?shù)淖钚?quán)限設(shè)置 請(qǐng)記得通道將會(huì)增加攻擊的新的通路 在最小通道和權(quán)限分割上需要一個(gè)適 當(dāng)?shù)钠胶? 使用最小功能性 使你的系統(tǒng)包括它所需要的最小的功能性 附加功能,甚至是睡眠狀態(tài),都代表著附加的攻擊 ? 可能是由于代碼的增加的行數(shù) ? 可能是由于里面包含的攻擊 ? 可能是由于無(wú)意識(shí)代碼的路徑 ? 可能是由于激活無(wú)意識(shí)功能的方式 主動(dòng)的限制一個(gè)過(guò)度的功能性子系統(tǒng)的功能,可 能會(huì)非常的昂貴并且還可能會(huì)導(dǎo)致錯(cuò)誤的發(fā)生 調(diào)停所有的操作 調(diào)停(提出)在所有的對(duì)象上的所有的操作 即使是沒(méi)有明顯的敏感數(shù)據(jù)的操作 潛在的將來(lái)的再次使用需要它 對(duì)于透明的調(diào)??梢允褂?“ 把柄 ” 一定不要為對(duì)象內(nèi)部的返回實(shí)指針 一定不要相信回叫功能或者是對(duì)象 使用行人愉快的界面 用戶具有足夠的創(chuàng)造性來(lái)規(guī)避令人討 厭的界面 如果界面必須是限制性的,那么,它 們必須得是完美的限制,而不是只是令人 氣餒的限制 穿過(guò)界面的自動(dòng)化的攻擊可能會(huì)戰(zhàn)勝許 多明顯的限制 使用多重正交鑒定證書 使你的
點(diǎn)擊復(fù)制文檔內(nèi)容
教學(xué)課件相關(guān)推薦
文庫(kù)吧 www.dybbs8.com
備案圖鄂ICP備17016276號(hào)-1