一开始

在设计过程中,架构师应该查看系统的哪些部分需要限制访问,哪些部分可以受到较少的保护。例如,每个人都可以对公司的公共网页具有读取权限,但只有经过授权的个人才能编辑内容。

为了帮助做出决策并检测设计中的弱点,应该创建威胁模型,如 OWASP 中所示 。在设计安全应用程序时,这种威胁模型非常宝贵,因为它可以揭示正在开发的系统的不同视角,例如所讨论的资产,信任级别,入口点和数据流。因此,你可以轻松发现应用程序的弱点和可能的攻击情形。

在测试或攻击的第一阶段,严重的测试者和黑客也会使用威胁模型:收集信息并将其全部放在一起以检测可能的弱点。