0x01 简介
采集互联网已公开或未知的风险和危害,按照业务安全的五个原则对业务的关键性数据或系统从优先级高到低的顺序对业务进行安全测试规划。
0x02 威胁建模
举例说明
- WEB层面
通用型的威胁
已知或未知威胁点
通过已知或未知的威胁对业务进行分块建模
XX系统威胁建模
- 安卓层面
通过已知或未知的威胁对业务进行分块建模
本图转自:腾讯安全应急响应中心
- IOS层面
本图转自:腾讯安全应急响应中心
其它平台按照以上类推;
0x03 实施方法
测试依据上图的威胁建模通过黑盒的方式进行,后期REVIEW根据互联网漏洞的更新和业务的变动通过灰盒或白盒等方式对业务更深更细的检测;不定期对业务进行REVIEW。
