误用用例

Q: 误用用例 是什么?

一种负向用例,描述系统必须阻止的交互,并与正常用例一起绘制,以便联合分析。 它属于网络安全的 应用安全 分类。

Q: 如何防御 误用用例?

针对 误用用例 的防御通常结合技术控制与运营实践,详见上方完整定义。

Q: 误用用例 还有哪些其他名称?

常见的别称包括: 负向用例。

审核人Florian AmetteCybersecurity entrepreneur & security researcher

误用用例是什么?

误用用例一种负向用例,描述系统必须阻止的交互,并与正常用例一起绘制,以便联合分析。

误用用例在 UML 用例建模中加入了敌对参与者及其有害目标,这些目标必须被系统挫败。误用用例与所威胁的用例画在同一张图上,通过「威胁」或「缓解」等关系展示,使设计者可以直观地看出哪些安全控制可以中和哪些威胁。它们通常在需求阶段早期与滥用用例一起编写,并转换为可测试的安全需求。把负向需求显式化,可以降低安全在非功能性需求中被遗忘的风险,并为质量保证提供一份清晰的攻击验证清单。

● 示例

01
误用用例「伪造 JWT」威胁用例「提交订单」,通过「使用轮换密钥验证签名」缓解。
02
误用用例「登录暴力破解」通过限速与账号锁定缓解。

● 常见问题

误用用例是什么?

一种负向用例,描述系统必须阻止的交互,并与正常用例一起绘制,以便联合分析。它属于网络安全的应用安全分类。

误用用例是什么意思?

一种负向用例,描述系统必须阻止的交互,并与正常用例一起绘制,以便联合分析。

如何防御误用用例?

针对误用用例的防御通常结合技术控制与运营实践,详见上方完整定义。

误用用例还有哪些其他名称?

常见的别称包括: 负向用例。

误用用例 是什么?

● 示例

● 常见问题

● 相关术语

误用用例是什么?