一開始

在設計過程中,架構師應該檢視系統的哪些部分需要限制訪問,哪些部分可以受到較少的保護。例如,每個人都可以對公司的公共網頁具有讀取許可權,但只有經過授權的個人才能編輯內容。

為了幫助做出決策並檢測設計中的弱點,應該建立威脅模型,如 OWASP 中所示 。在設計安全應用程式時,這種威脅模型非常寶貴,因為它可以揭示正在開發的系統的不同視角,例如所討論的資產,信任級別,入口點和資料流。因此,你可以輕鬆發現應用程式的弱點和可能的攻擊情形。

在測試或攻擊的第一階段,嚴重的測試者和黑客也會使用威脅模型:收集資訊並將其全部放在一起以檢測可能的弱點。