以往我们建立和开发web应用,特别是要部署到Internet上的工程项目,都要多多少少考虑一些安全性问题,分析可能存在的漏洞,来决定如何有效防范攻击,但是很少有公司或个人将这种行为活动归结到项目的建模上面来,仅仅是一组人通过讨论分析得出一个不完善的防御方案,更有甚者有很多应用是等到部署以后再进行修补相关的漏洞,弄得开发人员疲于奔命,劳命伤“才”。

如何在应用开发之前,在设计分析阶段就尽可能的注意到尽可能多的系统漏洞呢?需要建立一套相对完备的建模体系,昨天(2005-7-20),msdn推出了系列文章《威胁建模Web 应用程序》,该指南提供 patterns &practices 方法来为 Web 应用程序创建威胁模型。说明了什么是[威胁建模],为什么要[威胁建模],[威胁建模]的五个主要步骤,以及一些相关概念和相关资源;

当然即使是这样还是不可能完全避免应用被攻击,但是通过学习这些技术文档,我们可以更好的确定安全目标、识别相关威胁、确定相关漏洞和对策,使应用程序设计符合您的安全目标,降低在开发和操作过程中引出的安全问题的风险,得出许多关于安全建模的想法,可以更有效的开发更安全的web应用系统;

下面是整理的相关资源的url,以方便阅读
·《威胁建模Web 应用程序》
·《Web 应用程序威胁模型一览》
·《“How To:在设计时为 Web 应用程序创建威胁模型”》
·《“演练:为 Web 应用程序创建威胁模型”》
·《“模板:Web 应用程序威胁模型”》
·《“模板示例:Web 应用程序威胁模型”》
·《“备忘单:Web 应用程序安全框架”》

同时希望各位能说说,你们以前是如何进行以上建模行为呢?是一组人通过讨论分析得出一个防御方案,还是等到部署以后受到攻击再进行补救?欢迎踊跃发言

转载于:https://www.cnblogs.com/Hedonister/archive/2005/07/21/197175.html

推荐介绍一项新的工程技术:[威胁建模]的相关系列文章《威胁建模Web 应用程序》...相关推荐

  1. 如何学习一项新的IT技术

    本文总结新技术学习经验和方法,探讨如何能更高效的更成体系的完成一项IT技术的学习和提升.如何评价掌握了一项IT新技术?可以分为以下三个阶段: 掌握了原理和理念: 有动手实践和配置管理能力: 有排错能力 ...

  2. 工程技术x计算机科学,TOP期刊Transactions on Industrial Electronics(TIE),投稿流程介绍

    Transactions on Industrial Electronics期刊介绍 Transactions on Industrial Electronics简称TIE,是机械领域中的TOP期刊, ...

  3. 中国科学技术大学计算机苏州,中国科学技术大学计算机科学与技术专业研究生导师介绍:冯新宇...

    院校研究生导师对于日后的研究生生涯起到重要的指导作用,因此对目标院校研究生导师一定要了解.以下是中公考研小编为大家整理的"中国科学技术大学计算机科学与技术专业研究生导师介绍:冯新宇" ...

  4. 钱德拉通过增强现实技术揭示了新的三维虚拟现实技术项目   一项新虚拟现实技术项目利用美国宇航局的钱德拉x射线望远镜和其他望远镜的数据,让人们第一次能够在一个爆炸星体的真实数据中进行导航。

    一项新虚拟现实技术项目利用美国宇航局的钱德拉x射线望远镜和其他望远镜的数据,让人们第一次能够在一个爆炸星体的真实数据中进行导航. 这个三维虚拟现实(VR)项目与增强现实(AR)允许用户在残骸中探索超新 ...

  5. 计算机教育cscd,工程技术方向论文投稿,这几本CSCD期刊值得推荐

    工程技术,指的是工程实用技术.工程技术亦称生产技术,是在工业生产中实际应用的技术.就是说人们应用科学知识或利用技术发展的研究成果于工业生产过程,以达到改造自然的预定目的的手段和方法.而科学技术更多地指 ...

  6. 国家官宣新职业之“集成电路工程技术人员”看看站在风口上都需要哪些必备素养

    以上是人力资源社会保障部办公厅.工业和信息化部办公厅.颁布的集成电路工程技术人员等7个国家职业 集成电路工程技术人员 国家职业技术技能标准 (2021 年版) 1 职业概况 1.1 职业名称 集成电路 ...

  7. 推荐 :数据科学与大数据技术专业特色课程研究

    在我国,数据科学与大数据技术专业的建设已成为新的热点话题.在系统调研世界一流大学数据科学专业建设现状的基础上,从特色课程视角重点分析加州大学伯克利分校.约翰·霍普金斯大学.华盛顿大学.纽约大学.斯坦福 ...

  8. 微软推出的Prompt高级玩法,包括小样本和任务分解等,简直不要太详细:Azure OpenAI 的提示工程技术

    搜索 打开App 微软推出的Prompt高级玩法,包括小样本和任务分解等,简直不要太详细:Azure OpenAI 的提示工程技术 8 小时前 ChatGPT云炬学长 ChatGPT云炬学长 ​关注 ...

  9. 【JavaScript】你知道吗?Web的26项基本概念和技术

    Web开发是比较费神的,需要掌握很多很多的东西,特别是从事前端开发的朋友,需要通十行才行.今天,本文向初学者介绍一些Web开发中的基本概念和用到的技术,从A到Z总共26项,每项对应一个概念或者技术. ...

最新文章

  1. C语言实现二分法检索binary search(附完整源码)
  2. 结构化查询语言包含哪些方面?
  3. java类与对象实验报告心得体会_第四周课程总结与实验报告(Java简单类与对象)...
  4. Linux笔记-为操作系统配ntp服务地址(适用达梦操作系统)
  5. 月老盲盒小纸条微信云开发小程序源码
  6. 备份恢复,DBA最后一道防线,你完全掌握了吗?
  7. 12 种主流编程语言输出“ Hello World ”,你真的都会了吗?
  8. python逐行读取txt文件-在python 3.4上逐行读取文本文件
  9. 语言程序推箱子课设报告_学完C语言,可以去哪些应用领域工作?
  10. linux asm函数,Linux 字符设备驱动—— ioremap() 函数解析
  11. 高效率OCR场景文字图片合成工具发布!
  12. 用matlab求解分支定界法,matlab分支定界法程序
  13. [云原生专题-59]:Kubesphere云治理-操作-分步部署Web业务平台RuoYi Cloud项目 - 手工上云部署实际过程全部操作步骤
  14. 安卓接入讯飞语音识别
  15. 记录:如何解决Ubuntu20.04无法联网问题【亲测有效】
  16. 数据载入、存储及文件格式(数据分析)
  17. 商品评论情感分析——基于商品评论建立的产品综合评价模型(1)
  18. 计算机一级怎么截图保存到桌面,怎么截屏电脑桌面
  19. uint_32定义的说明
  20. 基于最小二乘法的磁力计椭球拟合方法

热门文章

  1. Javaweb中提到的反射浅析(附源码)
  2. stp和vrrp的配置命令
  3. Swift 中 String 取下标及性能问题
  4. 抓包和http请求工具
  5. 如何在xaml文件中操作用户在后台代码定义的类(1)
  6. inline-block 间距
  7. jQuery 是为事件处理特别设计的。
  8. 运维自动化之 Cobbler 系统安装使用详解
  9. AngularJs学习笔记(3)--$scope中的$apply和$digest方法
  10. .9文件,展示后显示黑条问题的解决