CHƯƠNG 1 TỔNG QUAN
3.3 Tạo mơ hình hóa mối đe dọa mới với công cụ Microsoft Threat Model
3.3.3 Nhập thông tin giảm thiểu
Các biện pháp giảm nhẹ của Công cụ tạo mơ hình mối đe dọa được phân loại theo Khung bảo mật ứng dụng web, bao gồm các điều sau trong mục categories:
THỂ LOẠI MIÊU TẢ
Auditing and Logging
Ai đã làm gì và khi nào? Kiểm tốn và ghi nhật ký đề cập đến cách ứng dụng của bạn ghi lại các sự kiện liên quan đến bảo mật.
Authentication Bạn là ai? Xác thực là quá trình mà một thực thể chứng minh tính bảo mật của một thực thể khác, thường thông qua thông tin xác thực, chẳng hạn như tên người dùng và mật khẩu
Authorization Bạn có thể làm gì? Ủy quyền là cách ứng dụng của bạn cung cấp các kiểm soát truy cập cho các tài nguyên và hoạt động.
THỂ LOẠI MIÊU TẢ Communication
Security
Bạn đang nói chuyện với ai? Bảo mật thơng tin liên lạc đảm bảo tất cả thông tin liên lạc được thực hiện an tồn nhất có thể.
Configuration Management
Ứng dụng của bạn chạy với tư cách là ai? Nó kết nối với những cơ sở dữ liệu nào? Ứng dụng của bạn được quản lý như thế nào? Như thế nào các cài đặt được bảo mật? Quản lý cấu hình đề cập đến cách ứng dụng của bạn xử lý các vấn đề hoạt động này
Cryptography Bạn đang giữ bí mật (bí mật) như thế nào? Bạn đang làm cách nào để chống giả mạo dữ liệu hoặc thư viện của mình (tính tồn vẹn)? Bạn đang cung cấp hạt giống cho các giá trị ngẫu nhiên phải mạnh về mặt mật mã như thế nào? Mật mã đề cập đến cách ứng dụng của bạn thực thi tính bảo mật và tính tồn vẹn
Exception Management
Khi một lệnh gọi phương thức trong ứng dụng của bạn khơng thành cơng, ứng dụng của bạn sẽ làm gì? Bạn tiết lộ bao nhiêu? Bạn có trả lại thơng tin lỗi thân thiện cho người dùng cuối khơng? Bạn có chuyển lại thơng tin ngoại lệ có giá trị cho người gọi khơng? Ứng dụng của bạn có bị lỗi không?
Input Validation Làm thế nào để bạn biết rằng đầu vào mà ứng dụng của bạn nhận được là hợp lệ và an toàn? Xác thực đầu vào đề cập đến cách ứng dụng của bạn lọc, loại bỏ hoặc từ chối đầu vào trước khi xử lý bổ sung. Xem xét việc hạn chế đầu vào thơng qua các điểm vào và mã hóa đầu ra thơng qua các điểm thốt. Bạn có tin tưởng dữ liệu từ các nguồn như cơ sở dữ liệu và chia sẻ tệp không?
THỂ LOẠI MIÊU TẢ
Sensitive Data Ứng dụng của bạn xử lý dữ liệu nhạy cảm như thế nào? Dữ liệu nhạy cảm đề cập đến cách ứng dụng của bạn xử lý bất kỳ dữ liệu nào phải được bảo vệ trong bộ nhớ, qua mạng hoặc trong các cửa hàng liên tục
Session Management
Ứng dụng của bạn xử lý và bảo vệ phiên người dùng như thế nào? Phiên đề cập đến một loạt các tương tác có liên quan giữa người dùng và ứng dụng Web của bạn
Bảng 3.10 Danh mục các thể loại trong categories các biện pháp giảm nhẹ
Điều này giúp bạn xác định:
• Những sai lầm phổ biến nhất được thực hiện ở đâu • Đâu là những cải tiến đáng quan tâm nhất
Do đó, bạn sử dụng các danh mục để tập trung và ưu tiên công việc bảo mật của mình, vì vậy nếu bạn biết các vấn đề bảo mật phổ biến nhất xảy ra trong các danh mục xác thực đầu vào, xác thực và ủy quyền, bạn có thể bắt đầu ở đó
3.3.4 Xem xét các mối đe dọa
Danh sách mối đe dọa có thể sắp xếp và lọc được. Bạn có thể nhấp vào bất kỳ tiêu đề cột nào trong danh sách mối đe dọa để sắp xếp theo cột đó. Bạn có thể nhấp vào hình tam giác trên tiêu đề cột để lọc bao nhiêu cột tùy thích. Ví dụ minh họa chọn điều kiện lọc như hình 3.23