STRIDE(詐騙、竄改、譴責、資訊揭露、拒絕服務(DoS)和權限提升)是系統化的安全方法,可協助開發團隊像攻擊者一樣,在入侵發生前保護系統。
詐騙:假設冒充數位身份盜竊。它指的是冒充其他使用者或系統元件,以獲得未經授權的存取。詐騙攻擊會危害驗證機制,讓攻擊者偽裝成合法的使用者或裝置。
竄改:竄改是指未經授權更改資料或程式碼。這類攻擊會修改執行中的應用程式中的檔案、資料庫、軟體程式碼、部署管線或記憶體,進而損害資料完整性。篡改在每個系統中都帶來嚴重風險,尤其是資料準確性對於決策至關重要的系統。
譴責:譴責威脅會利用問責制的落差。當使用者或系統拒絕執行特定動作,例如交易時,就會發生這種類型的安全威脅。這種威脅利用軟體系統中缺乏不可否認的控制,使得各方難以對其行為負責。
資訊揭露:這是指機密或敏感資訊意外暴露給未經授權方。這可能是因為加密不足、存取控制不當,或是網路應用程式的漏洞所造成。
拒絕服務(DoS):此類安全威脅旨在透過過度請求或利用系統漏洞來壓倒系統,從而中斷服務的可用性。DoS 攻擊使系統無法供合法使用者使用,並造成業務中斷。
提升特權:當攻擊者獲得比預期更高的存取權限時,就會發生這種情況,通常是利用系統弱點。這可能導致系統受到管理層級的控制,讓攻擊者得以安裝惡意軟體、修改系統設定,或存取敏感資料。 (來源:純粹儲存公司)
阿摩線上測驗
登入