第一篇世界观安全

安全的问题本质是信任问题。

并且安全是一个持续的过程。

安全的三要素：机密性，完整性（可以采用数字签名），可用性（简单来说就是能用，攻击者可以模拟用户但是不使用，造成资源浪费，DDOS攻击）。在安全领域还可以扩充增加可审计性、不可抵赖性等，但最重要、最基本的还是机密性、完整性、可用性。

STRIDE模型

Spoofing（伪装）

冒充他人身份

Tampering（篡改）

修改数据或代码

Repudiation（抵赖）

否认做过的事

InformationDisclosure（信息泄露）

机密信息泄露

Denial of Service（拒绝服务）

拒绝服务

Elevation of Privilege（提升权限）

未经授权获得许可

风险分析

简单来说就是禁止列表和允许列表，但是我们优先选择白名单，但是要避免通配符的使用

尽可能的避免权限的过度下放，可以在平时养成习惯，减少root用户的使用

多层次，多方向的进行防御，这样子可以有效避免攻击，作用举例水桶，补齐短板，和在正确的地方使用正确的原则，避免乌龙

很多时候sql注入和xss就是代码和数据未分离造成的

利用随机性，避免被攻击方预测

最后一句，安全是一门朴素的学问，也是一种平衡的艺术。