一个温暖的深秋午后,心中亦充满着应景的希望。
¶“好奇心与求知欲是他们前进的动力” 希望我也是
“威胁分析的STRIDE原则:Spoofing(伪装),tampering(篡改),Repudiation(抵赖),Infor Disclosure(信息泄露),Denial of Service(拒绝服务),Elevation of Privilege(权限up)”
“风险评估的DREAD原则:Damage Potential(威胁等级),Reproducibility(多次性),Exploitability(开发性),Affected users(用户影响),Discoverability(可发现性).Value at Risk:1215(high),811(mid),0~7(low)”
"安全方案的原则:Secure by Default(黑白名单)-方案的总则,Defense in Depth(纵深防御)-应该全面和根本地看问题,数据与代码分离-漏洞的本质原因,不可预测性(DEP的否认,ASLR的随机性,复杂的token值)-克服被攻击"
用没有银弹作题目真是太贴切了。
今日份的歌曲是:泡沫花火。 下一个季节将会到来。