Aracılığıyla paylaş

SDL Güvenlik Hata Çubuğu (Örnek)

Not: Bu örnek belge yalnızca çizim amaçlıdır. Aşağıda sunulan içerik, güvenlik işlemleri oluştururken dikkate alınması gereken temel ölçütleri özetler. Bu, kapsamlı bir etkinlik veya ölçüt listesi değildir ve bu şekilde ele alınmamalıdır.

Lütfen bu bölümdeki terimlerin tanımlarına bakın.

Sunucu

Sunucu DoS senaryolarının eksiksiz bir matrisi için lütfen Hizmet Reddi Matrisi'ne bakın.

Kullanıcı etkileşimi yararlanma işleminin bir parçası olduğunda sunucu çubuğu genellikle uygun değildir. Kritik bir güvenlik açığı yalnızca sunucu ürünlerinde mevcutsa ve kullanıcı etkileşimi gerektiren ve sunucunun güvenliğinin aşılmasına neden olacak şekilde kötüye kullanıldıysa, önem derecesi, istemci önem derecesi özetinin başlangıcında sunulan kapsamlı kullanıcı etkileşiminin NEAT/veri tanımına uygun olarak Kritik'ten Önemli'ye düşürülebilir.

Sunucu
Kritik

Sunucu özeti: Sunucunun "sahibi" olduğu ağ solucanları veya kaçınılmaz durumlar.

  • Ayrıcalık yükseltmesi: Rastgele kod yürütme veya yetkiliden daha fazla ayrıcalık elde etme özelliği

    • Uzak anonim kullanıcı

      • Örnekler:

        • Yetkisiz dosya sistemi erişimi: dosya sistemine rastgele yazma

        • Rastgele kodun yürütülmesi

        • SQL enjeksiyonu (kodun çalıştırılmasına izin veren)

    • Tüm yazma erişim ihlalleri (AV), kötüye kullanılabilir okuma AV'leri veya anonim olarak çağrılabilen uzaktan kodda tamsayı taşması
Önemli

Sunucu özeti: Kritik senaryoları önlemeye yardımcı olabilecek varsayılan olmayan kritik senaryolar veya risk azaltmaların mevcut olduğu durumlar.

  • Hizmet reddi: Az miktarda veri göndererek "kötüye kullanımı kolay" olmalı veya başka bir şekilde hızlı bir şekilde tetiklenmelidir

    • Anonim

      • Kalıcı DoS

        • Örnekler:

          • Tek bir kötü amaçlı TCP paketi göndererek Mavi Ölüm Ekranı (BSoD) elde edilir

          • Hizmet hatasına neden olan az sayıda paket gönderme

      • Amplifikasyonlu Geçici DoS

        • Örnekler:

          • Sistemin bir süre kullanılamaz olmasına neden olan az sayıda paket gönderme

          • Bir web sunucusu (IIS gibi) bir dakika veya daha uzun süre çalışmıyor

          • Bir sunucudaki tüm kullanılabilir kaynakları (oturumlar, bellek) tüketen tek bir uzak istemci, oturumlar oluşturup açık tutarak çalışır.

    • Kimlik doğrulandı

      • Yüksek değerli bir varlığa karşı kalıcı DoS

        • Örnek:

          • Sunucu rollerinde (sertifika sunucusu, Kerberos sunucusu, etki alanı denetleyicisi) yüksek değerli bir varlık için hizmet hatasına neden olan az sayıda paket gönderme( etki alanı kimliği doğrulanmış bir kullanıcının bir etki alanı denetleyicisinde DoS gerçekleştirebildiği durumlar gibi)

  • Ayrıcalık yükselmesi: Rastgele kod yürütme veya amaçlanandan daha fazla ayrıcalık elde etme olanağı

    • Uzaktan kimliği doğrulanmış kullanıcı

    • Yerel kimliği doğrulanmış kullanıcı (Terminal Server)

      • Örnekler:

        • Yetkisiz dosya sistemi erişimi: dosya sistemine rastgele yazma

        • Rastgele kodun yürütülmesi

    • Yönetici olmayan uzak veya yerel kimliği doğrulanmış kullanıcılar tarafından erişilebilen koddaki tüm yazma AV'leri, yararlanılabilir okuma AV'leri veya tamsayı taşmaları (Yönetici senaryolarının tanımına göre güvenlik sorunları yoktur, ancak yine de güvenilirlik sorunlarıdır.)

  • Bilgilerin açığa çıkması (hedeflenen)

    • Saldırganın, sistem bilgileri de dahil olmak üzere, kullanıma sunulması veya ifşa edilmesi amaçlanmayan bilgileri sistemin herhangi bir yerinden bulabildiği ve okuyabildiği durumlar

      • Örnekler:

        • Kişisel bilgilerin (PII) açığa çıkması

          • PII'nin açığa çıkması (e-posta adresleri, telefon numaraları, kredi kartı bilgileri)

          • Saldırgan, kullanıcı onayı olmadan veya gizli bir şekilde PII toplayabilir

  • Spoofing (Kimlik Sahtekarlığı)

    • Bir varlık (bilgisayar, sunucu, kullanıcı, işlem) kendi seçtiği belirli birvarlık (kullanıcı veya bilgisayar) olarak maskelenebilir.

      • Örnekler:

        • Web sunucusu, bir saldırganın kendi seçtiği herhangi bir kullanıcı olarak tanımlanmasına izin vermek için istemci sertifikası kimlik doğrulamasını (SSL) yanlış kullanıyor

        • Yeni protokol, uzak istemci kimlik doğrulaması sağlamak üzere tasarlanmıştır, ancak kötü amaçlı bir uzak kullanıcının kendi tercihindeki farklı bir kullanıcı olarak görülmesini sağlayan protokolde kusur vardır

  • Müdahale

    • Etkilenen yazılımı yeniden başlattıktan sonra değişikliğin devam ettiği yaygın veya varsayılan bir senaryoda "yüksek değerli varlık" verilerinin değiştirilmesi

    • Ortak veya varsayılan bir senaryoda kullanılan kullanıcı veya sistem verilerinin kalıcı veya kalıcı olarak değiştirilmesi

      • Örnekler:

        • Kimliği doğrulanmış SQL ekleme gibi yaygın veya varsayılan bir senaryoda uygulama veri dosyalarının veya veritabanlarının değiştirilmesi

        • Yaygın veya varsayılan bir senaryoda ara sunucu önbelleği zehirlenmesi

        • Yaygın veya varsayılan bir senaryoda kullanıcı onayı olmadan işletim sistemi veya uygulama ayarlarının değiştirilmesi

  • Güvenlik özellikleri: Sağlanan tüm güvenlik özelliklerini bozma veya atlama.
    Güvenlik özelliğindeki bir güvenlik açığının varsayılan olarak "Önemli" olarak derecelendirildiğini, ancak derecelendirmenin SDL hata çubuğunda belgelendiği gibi dikkate alınacak diğer noktalara göre ayarlanabileceğini unutmayın.

    • Örnekler:

      • Kullanıcıları bilgilendirmeden veya onay almadan güvenlik duvarını devre dışı bırakma veya atlama

      • Güvenlik duvarını yeniden yapılandırma ve diğer işlemlere bağlantılara izin verme
Orta

  • Hizmet reddi

    • Anonim

      • Varsayılan/yaygın yüklemede amplifikasyon olmadan geçici DoS.

        • Örnek:

          • Oturumlar oluşturup açık tutarak bir sunucudaki tüm kullanılabilir kaynakları (oturumlar, bellek) kullanan birden çok uzak istemci

    • Kimliği doğrulandı

      • Kalıcı DoS

        • Örnek:

          • Exchange'de oturum açan kullanıcı belirli bir posta iletisi gönderebilir ve Exchange Server'ı çökertmek mümkündür; çökme nedeni yazma AV'si, kötüye kullanılabilir okuma AV'si veya tamsayı taşması değildir

      • Varsayılan/ortak yüklemede amplifikasyonlu geçici DoS

        • Örnek:

          • Sıradan SQL Server kullanıcısı, bazı ürünler tarafından yüklenen bir saklı yordamı yürütür ve CPU'nun %100'ünü birkaç dakika kullanır

  • Bilgilerin açığa çıkması (hedeflenen)

    • Saldırganın, kullanıma sunulmak üzere tasarlanmamış sistem bilgileri de dahil olmak üzere belirli konumlardan sistemle ilgili bilgileri kolayca okuyabildiği durumlar.

      • Örnek:

        • Anonim verilerin hedefli şekilde açığa çıkması

        • Bir dosyanın varlığının hedefli bir şekilde açıklanması

        • Dosya sürüm numarasının hedefli olarak açıklanması

  • Spoofing (Kimlik Sahtekarlığı)

    • Bir varlık (bilgisayar, sunucu, kullanıcı, işlem) özel olarak seçilemeyen farklı, rastgele bir varlık olarak maskelenebilir.

      • Örnek:

        • İstemci sunucuda doğru şekilde kimlik doğrulaması yapar, ancak sunucu aynı anda sunucuya bağlı olan başka bir rastgele kullanıcının oturumunu geri alır

  • Manipülasyon (Müdahale)

    • Belirli bir senaryoda kullanıcı veya sistem verilerinin kalıcı veya kalıcı olarak değiştirilmesi

      • Örnekler:

        • Belirli bir senaryoda uygulama veri dosyalarının veya veritabanlarının değiştirilmesi

        • Belirli bir senaryoda ara sunucu önbelleği zehirlenmesi

        • Belirli bir senaryoda kullanıcı onayı olmadan işletim sistemi/uygulama ayarlarının değiştirilmesi

    • İşletim sistemi/uygulama-/oturum yeniden başlatıldıktan sonra kalıcı olmayan yaygın veya varsayılan bir senaryoda verilerin geçici olarak değiştirilmesi

  • Güvenlik güvenceleri:

    • Güvenlik güvencesi, müşterilerin güvenlik koruması sunmayı beklediği bir güvenlik özelliği veya başka bir ürün özelliği/işlevidir. İletişimler, müşterilerin özelliğin bütünlüğüne güvenebileceğini (açıkça veya örtük olarak) bildirmiş ve bu da onu bir güvenlik güvencesi haline getirmektedir. Güvenlik bültenleri, müşterinin güvenini veya inancını zedeleyen güvenlik güvencesindeki bir eksiklik nedeniyle yayımlanacaktır.

      • Örnekler:

        • Yönetici parolası/kimlik bilgileri kasıtlı olarak yetkilendirilmiş yöntemlerle sağlanmadığı sürece normal "kullanıcı" ayrıcalıklarıyla çalışan işlemler "yönetici" ayrıcalıkları kazanamaz.

        • Internet Explorer'da çalışan internet tabanlı JavaScript, kullanıcı varsayılan güvenlik ayarlarını açıkça değiştirmediği sürece konak işletim sistemini denetleyemez.
Düşük

  • Bilgilerin açığa çıkması (hedeflenmemiş)

    • Çalışma zamanı bilgileri

      • Örnek:

        • Rastgele yığın belleği sızıntısı

  • Kurcalama

    • İşletim sistemi/uygulama yeniden başlatıldıktan sonra kalıcı olmayan belirli bir senaryoda verilerin geçici olarak değiştirilmesi

İstemci

Kapsamlı kullanıcı eylemi şu şekilde tanımlanır:

  • "Kullanıcı etkileşimi" yalnızca istemci temelli senaryoda gerçekleşebilir.

  • Posta önizlemesi, yerel klasörleri veya dosya paylaşımlarını görüntüleme gibi normal, basit kullanıcı eylemleri kapsamlı kullanıcı etkileşimi değildir.

  • "Kapsamlı", belirli bir web sitesine el ile gezinen (örneğin, url yazarak) veya evet/hayır kararına tıklayan kullanıcıları içerir.

  • "Kapsamlı değil", e-posta bağlantılarına tıklayan kullanıcıları içerir.

  • NEAT niteleyicisi (yalnızca uyarılar için geçerlidir). Açıkça, UX şöyledir:

    • Gerekli (Kullanıcıya gerçekten bu kararın sunulması gerekiyor mu?)

    • Explained (UX, kullanıcının bu kararı alması için gereken tüm bilgileri sunuyor mu?)

    • Ctionable (Kullanıcıların hem zararsız hem de kötü amaçlı senaryolarda iyi kararlar almak için atabileceği bir dizi adım var mı?)

    • Tested (Kişilerin uyarıya nasıl yanıt vereceklerini anlamasını sağlamak için uyarı birden çok kişi tarafından gözden geçirildi mi?)

  • tr-TR: Açıklama: Kapsamlı kullanıcı etkileşiminin etkisinin önem derecesinde bir düşüş olmadığını, ancak hata çubuğunda kapsamlı kullanıcı etkileşimi ifadesinin göründüğü belirli durumlarda önem derecesinde bir azalma olabileceğini unutmayın. Amaç, müşterilerin hızlı yayılan ve solucana dönüştürülebilir saldırıları, kullanıcı etkileşime geçtiği için saldırının yavaşladığı saldırılardan ayırt etmelerine yardımcı olmaktır. Bu hata çubuğu, kullanıcı etkileşimi nedeniyle Önemli'nin altındaki Ayrıcalık Yükseltmesini azaltmanıza izin vermez.

Müşteri
Kritik

İstemci özeti:

  • Ağ Solucanları veya istemcinin uyarı veya istem olmadan "ele geçirildiği" kaçınılmaz yaygın göz atma/kullanım senaryoları.

  • Ayrıcalık yükseltmesi (uzak): Rastgele kod yürütme veya hedeflenenden daha fazla ayrıcalık elde etme olanağı

    • Örnekler:

      • Yetkisiz dosya sistemi erişimi: dosya sistemine yazma

      • Kapsamlı kullanıcı eylemi olmadan rastgele kodun yürütülmesi

      • Uzaktan çağrılabilen kodda tüm yazma AV'leri, yararlanılabilir okuma AV'leri, yığın taşmaları veya tamsayı taşmaları (kapsamlı kullanıcı eylemi olmadan )
Önemli

İstemci özeti:

  • İstemcinin uyarılar veya istemlerle "ele geçirildiği" ya da istemlerin olmadığı kapsamlı eylemler aracılığıyla karşılaşılan yaygın göz atma/kullanım senaryoları. Bunun, bir istemin kalitesi/kullanılabilirliği ve bir kullanıcının istem üzerinden tıklama olasılığına göre ayrım yapmadığını, ancak yalnızca bir form isteminin mevcut olduğunu unutmayın.

  • Yetki yükseltme (uzaktan)

    • Kapsamlı kullanıcı eylemiyle rastgele kodun yürütülmesi

      • Uzak çağrılabilen koddaki tüm yazma bellek ihlalleri, istismar edilebilir okuma bellek ihlalleri veya tamsayı aşması sorunları (geniş kapsamlı kullanıcı etkileşimi gerektirir)

  • Ayrıcalık yükseltme (yerel)

    • Yerel düşük ayrıcalıklı kullanıcı, kendisini başka bir kullanıcı, yönetici veya yerel sisteme yükseltebilir.

      • Yerel çağrılabilir kodda tüm yazma AV'leri, yararlanılabilir okuma AV'leri veya tamsayı taşmaları

  • Bilgilerin açığa çıkması (hedeflenen)

    • Saldırganın, ifşa edilmesi amaçlanmamış veya ifşa edilmesi için tasarlanmamış sistem bilgileri de dahil olmak üzere, sistemdeki bilgileri bulabileceği ve okuyabildiği durumlar.

    • Örnek:

      • Yetkisiz dosya sistemi erişimi: dosya sisteminden okuma

      • PII'nin açığa çıkması

        • PII'nin açığa çıkması (e-posta adresleri, telefon numaraları)

      • Telefon eve dönme senaryoları

  • Hizmet reddi

    • Sistem bozulması DoS, sistemin ve/veya bileşenlerin yeniden yüklenmesini gerektirir.

      • Örnek:

        • Bir web sayfasını ziyaret etmek, makinenin başlatılamamasına neden olan kayıt defteri bozulmasına yol açıyor.

    • Drive-by DoS Saldırısı

      • Ölçütler:

        • Kimliği doğrulanmamış Sistemlerde DoS

        • Varsayılan pozlama

        • Varsayılan güvenlik özellikleri veya sınır azaltmaları (güvenlik duvarları) yok

        • Kullanıcı etkileşimi yok

        • Denetim yok ve ceza izi yok

        • Örnek:

          • Mobil telefonda Bluetooth sistemi üzerinden sürücü-geçişi DoS veya SMS saldırısı.

  • Spoofing (Kimlik Sahtekarlığı)

    • Saldırganın, varsayılan/ortak bir senaryoda geçerli güven kararları almak için kullanıcıların güvenmesi gereken kullanıcı arabiriminden farklı ama görsel olarak aynı bir kullanıcı arabirimi sunabilmesi. Güven kararı, kullanıcının belirli bir varlık (sistem ya da belirli bir yerel veya uzak kaynak) tarafından bazı bilgilerin sunulduğuna inanan bir eylemde bulunma zamanı olarak tanımlanır.

      • Örnekler:

        • Tarayıcının adres çubuğunda, tarayıcının varsayılan/yaygın bir senaryoda gerçekten görüntülendiği sitenin URL'sinden farklı bir URL görüntüleme

        • Tarayıcının adres çubuğunun üzerinde bir adres çubuğuyla aynı görünen ancak varsayılan/yaygın bir senaryoda sahte verileri görüntüleyen bir pencere görüntüleme

        • "Farklı bir dosya adını görüntüleyerek 'Bu programı çalıştırmak istiyor musunuz?' sorusu soruluyor mu?" iletişim kutusu, gerçekte yüklenecek olan dosyanın varsayılan/ortak bir senaryosuna göre farklı olabilir

        • Kullanıcı veya hesap kimlik bilgilerini toplamak için "sahte" oturum açma istemi görüntüleme

  • Kurcalama

    • İşletim sistemini/uygulamayı yeniden başlattıktan sonra kalıcı olan ortak veya varsayılan bir senaryoda güven kararları almak için kullanılan tüm kullanıcı verilerinin veya verilerin kalıcı olarak değiştirilmesi.

      • Örnekler:

        • Web tarayıcısı önbelleğini zehirle

        • Kullanıcı onayı olmadan önemli işletim sistemi/uygulama ayarlarının değiştirilmesi

        • Kullanıcı verilerinin değiştirilmesi

  • Güvenlik özellikleri: Sağlanan tüm güvenlik özelliklerini bozma veya atlama

    • Örnekler:

      • Kullanıcıyı bilgilendiren veya onay veren bir güvenlik duvarını devre dışı bırakma veya atlama

      • Güvenlik duvarını yeniden yapılandırma ve diğer işlemlere bağlanmaya izin verme

      • Zayıf şifreleme kullanma veya anahtarları düz metinde saklama

      • AccessCheck güvenlik atlatma

      • Bitlocker atlama; örneğin, sürücünün bir bölümünü şifrelememe

      • Syskey atlama, parola olmadan syskey kodunu çözmenin bir yolu
Orta

  • Hizmet reddi

    • Kalıcı DoS, soğuk yeniden başlatma gerektirir veya Mavi Ekran veya Hata Denetimi ile sonuçlanır.

      • Örnek:

        • Word belgesi açıldığında makinenin Mavi Ekran vermesine/Hata Denetimi yapmasına neden olur.

  • Bilgilerin açığa çıkması (hedeflenen)

    • Saldırganın, açığa çıkarılması amaçlanmayan veya tasarlanmayan sistem bilgileri de dahil olmak üzere, bilinen konumlardan sistemle ilgili bilgileri okuyabildiği durumlar.

      • Örnekler:

        • Dosyanın hedeflenen varlığının doğrulanması

        • Hedeflenen dosya sürüm numarası

  • Spoofing (Kimlik Sahtekarlığı)

    • Saldırganın, kullanıcıların belirli bir senaryoda güvenmeyealışkın olduğu kullanıcı arabiriminden farklı ama görsel olarak aynı bir kullanıcı arabirimi sunabilmesi. "Güvene alışkın", bir kullanıcının işletim sistemi veya uygulamayla normal etkileşime göre yaygın olarak aşina olduğu her şey olarak tanımlanır, ancak genellikle "güven kararı" olarak düşünmez.

      • Örnekler:

        • Web tarayıcısı önbelleğini zehirle

        • Kullanıcı onayı olmadan önemli işletim sistemi/uygulama ayarlarının değiştirilmesi

        • Kullanıcı verilerinin değiştirilmesi
Düşük

  • Hizmet reddi

    • Geçici DoS, uygulamanın yeniden başlatılmasını gerektirir.

      • Örnek:

        • HTML belgesi açmak Internet Explorer'ın kilitlenmesine neden oluyor

  • Spoofing (Kimlik Sahtekarlığı)

    • Saldırganın, daha büyük bir saldırı senaryosunun tek bir parçası olan kullanıcı arabiriminden farklı ancak görsel olarak aynı bir kullanıcı arabirimi sunabilmesi.

      • Örnek:

        • Kullanıcının "kötü amaçlı" bir web sitesine gitmesi, sahte bir iletişim kutusundaki düğmeye tıklaması ve ardından farklı bir tarayıcı hatasından kaynaklanan bir güvenlik açığına karşı savunmasız hale gelmesi gerekiyor.

  • Kurcalama

    • İşletim sistemi/uygulama yeniden başlatıldıktan sonra kalıcı olmayan verilerin geçici olarak değiştirilmesi.

    • Bilgilerin açığa çıkması (hedeflenmemiş)

      • Örnek:

        • Rastgele yığın belleği sızıntısı

Terimlerin Tanımı

Kimlik doğrulaması
Ağ tarafından kimlik doğrulaması da dahil olmak üzere herhangi bir saldırı. Bu, saldırganın tanımlanabilmesi için bir tür günlüğe kaydetme işleminin gerçekleştirilebilir olması gerektiği anlamına gelir.

Anonim
Tamamlanması için kimlik doğrulaması gerektirmeyen herhangi bir saldırı.

client
Tek bir bilgisayarda yerel olarak çalışan yazılım veya ağ üzerinden bir sunucu tarafından sağlanan paylaşılan kaynaklara erişen yazılım.

varsayılan/ortak
Kullanıma sunulan veya kullanıcıların yüzde 10'undan fazlasına ulaşan tüm özellikler.

senaryo
Yalnızca kullanıcıların yüzde 10'undan azının kullandığı, etkinleştirilmesi için özelleştirme veya özel kullanım durumları gerektiren tüm özellikler.

sunucu
Diğer bilgisayarlarda çalışan istemci işlemlerinden gelen istekleri bekleyen ve yerine getiren yazılımları çalıştıracak şekilde yapılandırılmış bilgisayar.

Kritik
En yüksek hasar potansiyeline sahip olarak derecelendirilebilecek bir güvenlik açığı.

Önemli
Önemli bir hasar potansiyeline sahip ancak Kritik'ten düşük olarak derecelendirilebilecek bir güvenlik açığı.

Ilımlı
Orta düzeyde hasar potansiyeline sahip ancak Önemli'den düşük olarak derecelendirilebilecek bir güvenlik açığı.

Alçak
Düşük hasar potansiyeline sahip olarak derecelendirilebilecek bir güvenlik açığı.

hedeflenen bilgilerin açığa çıkması
İstenilen bilgileri kasıtlı olarak seçebilme (hedef).

geçici DoS
Geçici DoS, aşağıdaki ölçütlerin karşılandığı bir durumdur:

  • Hedef, bir saldırı nedeniyle normal işlemler gerçekleştiremiyor.

  • Bir saldırının yanıtı kabaca saldırının boyutuyla aynıdır.

  • Hedef, saldırı tamamlandıktan kısa bir süre sonra normal işlevsellik düzeyine döner. Her ürün için "kısa süre"nin kesin tanımı değerlendirilmelidir.

Örneğin, bir saldırgan sürekli olarak bir ağ üzerinden paket akışı gönderirken sunucu yanıt vermiyor ve sunucu paket akışı durduktan birkaç saniye sonra normale dönüyor.

amplification ile geçici DoS

Amplifikasyonlu geçici bir DoS, aşağıdaki ölçütlerin karşılandığı bir durumdur:

  • Hedef, bir saldırı nedeniyle normal işlemler gerçekleştiremiyor.

  • Bir saldırının yanıtı, saldırının boyutunun ötesinde büyük bir boyuta sahiptir.

  • Hedef, saldırı tamamlandıktan sonra normal işlevsellik düzeyine döner, ancak biraz zaman alır (belki de birkaç dakika).

Örneğin, kötü amaçlı bir 10 baytlık paket gönderebiliyorsanız ve ağda 2048k yanıtına neden oluyorsanız, saldırı çabamızı genişleterek bant genişliğini doSing yaparsınız.

kalıcı DoS

Kalıcı Bir DoS, yöneticinin sistemin tüm bölümlerini veya bölümlerini başlatmasını, yeniden başlatmasını veya yeniden yüklemesini gerektiren bir işlemdir. Sistemi otomatik olarak yeniden başlatan tüm güvenlik açıkları da kalıcı bir DoS'tır.

Hizmet Reddi (Sunucu) Matrisi

Kimliği doğrulanmış ve Anonim saldırı karşılaştırması Varsayılan/Ortak ve Senaryo karşılaştırması Geçici DoS ile Kalıcı Karşılaştırma Derecelendirme
Kimliği doğrulandı Varsayılan/Ortak Kalıcı Orta
Kimliği doğrulandı Varsayılan/Ortak Amplifikasyonlu Geçici DoS Orta
Kimliği doğrulandı Varsayılan/Ortak Geçici DoS Düşük
Kimliği doğrulandı Senaryo Kalıcı Orta
Kimliği doğrulandı Senaryo Amplifikasyonlu Geçici DoS Düşük
Kimliği doğrulandı Senaryo Geçici DoS Düşük
Anonim Varsayılan/Ortak Kalıcı Önemli
Anonim Varsayılan/Ortak Amplifikasyonlu Geçici DoS Önemli
Anonim Varsayılan/Ortak Geçici DoS Orta
Anonim Senaryo Kalıcı Önemli
Anonim Senaryo Amplifikasyonlu Geçici DoS Önemli
Anonim Senaryo Geçici DoS Düşük

İçerik Bildirimi

Bu belgeler, Microsoft'taki SDL uygulamalarında kapsamlı bir başvuru değildir. Ek güvence çalışmaları, ürün ekipleri tarafından kendi takdirlerine bağlı olarak gerçekleştirilebilir (ancak belgelenmeleri şart değildir). Sonuç olarak, bu örnek Microsoft'un tüm ürünlerin güvenliğini sağlamak için izlediği tam süreç olarak düşünülmemelidir.

Bu belgeler "olduğu gibi" sağlanır. URL ve diğer İnternet web sitesi başvuruları dahil olmak üzere bu belgede ifade edilen bilgiler ve görünümler bildirimde bulunmadan değişebilir. Kullanım riski size aittir.

Bu belgeler, herhangi bir Microsoft ürünündeki fikri mülkiyet haklarına yönelik herhangi bir yasal hak sağlamaz. Kendinize özgü başvuru amaçlarıyla bu belgeyi kopyalayıp kullanabilirsiniz.

© 2018 Microsoft Corporation. Tüm hakları saklıdır.

Creative Commons Attribution-NonCommercial-ShareAlike 3.0 Unported altındalisanslanır
  • Last updated on