威胁建模:摆脱随机挖洞的命运
楔子:聊聊Web与二进制安全
经常有人会说“Web安全门槛低,二进制安全门槛高”
,先不讨论它是对是错,但至少这让多数人意识到:开始搞Web安全时,xss
弹个框,sql注入写个单引号,sqlmap
跑一下就拖库了,这种总是令人感觉那么容易(懂这些就敢对外自称“高级渗透测试工程师”的大有人在);搞二进制的就没那么容易出效果了,因为得先学C、汇编,而且一些自动化工具也没web多,就算费九牛二虎之力搞出来,也没黑个站酷炫。
所以,搞Web的人总是比搞二进制的人要多得多。
个人觉得,Web是个前期容易出效果,中后期容易遇瓶颈的安全分支,因为不知道该往哪使力,相当于“前期英雄”
;二进制是个前期不容易出效果,且水很深,难达瓶颈的安全分支,因为你很容易知道高山在哪里,即使很多时间只能仰望,相当于“后期英雄”
。
在搞Web渗透测试时,不知道大家是否有过这种感觉:
- 看到别人发的漏洞文章,发现原来这么简单,自己明明有能力发现,之前怎么没挖到呢?
- 感觉力不从心,有点“随机挖洞”的感觉。
其实这都是一些技术或方法论上的瓶颈,二进制上也会有“随机挖洞”的感觉的,只是没Web上那么容易碰到,所以拿web举例。
STRIDE:突破瓶颈的方法论
某天在网上看到一篇关于STRIDE
威胁建模的文章,这是微软总结出来的一套方法论,其实就是一些威胁的助记符,帮助大家在做安全测试时能够更加全面系统。虽然它也不能100%覆盖所有系统/软件面临的安全威胁,但至少能覆盖个90%。
上图是STRIDE所代表的6种威胁,无论在做Web渗透测试,还是软件安全测试,先通过对测试目标做功能上的分析,再按STRIDE模型对其进行全面的分析,最后就是实际测试验证。
STRIDE本质上并不会提高你的技术能力,但可以改变你挖洞的思维方法,更加系统全面,摆脱随机挖洞的命运。
关于STRIDE更详细地信息,可以参考以下这本书《威胁建模:设置和交付更安全的软件》,看前半本就可以了,后半本有点啰嗦,且可操作性不强。