0x01 簡介

采集互聯(lián)網(wǎng)已公開或未知的風(fēng)險(xiǎn)和危害，按照業(yè)務(wù)安全的五個(gè)原則對業(yè)務(wù)的關(guān)鍵性數(shù)據(jù)或系統(tǒng)從優(yōu)先級(jí)高到低的順序?qū)I(yè)務(wù)進(jìn)行安全測試規(guī)劃。

0x02 威脅建模

舉例說明

• WEB層面

通用型的威脅

已知或未知威脅點(diǎn)

通過已知或未知的威脅對業(yè)務(wù)進(jìn)行分塊建模

XX系統(tǒng)威脅建模

• 安卓層面

通過已知或未知的威脅對業(yè)務(wù)進(jìn)行分塊建模

本圖轉(zhuǎn)自：騰訊安全應(yīng)急響應(yīng)中心

• IOS層面

本圖轉(zhuǎn)自：騰訊安全應(yīng)急響應(yīng)中心

其它平臺(tái)按照以上類推；

0x03 實(shí)施方法

測試依據(jù)上圖的威脅建模通過黑盒的方式進(jìn)行，后期REVIEW根據(jù)互聯(lián)網(wǎng)漏洞的更新和業(yè)務(wù)的變動(dòng)通過灰盒或白盒等方式對業(yè)務(wù)更深更細(xì)的檢測；不定期對業(yè)務(wù)進(jìn)行REVIEW。