微软特权提升(EOP)卡牌游戏
背景知识
OWASP
OWASP,开放式Web应用程序安全项目(OWASP,Open Web Application Security Project)是一个非营利组织,不附属于任何企业或财团,它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。其目的是协助个人、企业和机构来发现和使用可信赖软件。
OWASP Cornucopia
https://owasp.org/www-project-cornucopia/
目的是帮助开发团队(尤其是那些使用敏捷方法的团队)确定应用程序安全需求并进行安全开发。
OWASP Cornucopia 提出了一种纸牌游戏形式的机制,可帮助软件开发团队识别敏捷、常规和正式开发过程中的安全要求。它与语言、平台和技术无关。比较著名的有两种:Cornucopia 套装和 EOP 套装。
威胁建模
微软特权提升(EoP)威胁建模卡牌游戏
https://www.microsoft.com/en-us/download/details.aspx?id=20303
特权提升(EoP)是开始威胁建模的简单方法,它是微软安全开发生命周期(SDL)设计阶段的核心组件。oP 卡牌游戏旨在为威胁建模的概念和实践提供有趣且具有教育意义的介绍;EoP 卡牌游戏有助于澄清威胁建模的细节,并检查可能对软件和计算机系统构成的威胁。
卡牌玩法
- 绘制系统的威胁模型示意图
- 分发牌给3-6名玩家
- 游戏从 Tampering 的 3 开始,顺时针游戏;每个玩家读出他们的牌,宣布威胁并记录下来。每回合由被领导的花色中打出的最高牌赢得,除非打出特权提升(EOP)牌。在这种情况下,高价值 EOP 卡获胜。
其他
OWASP Snakes And Ladders: https://owasp.org/www-project-snakes-and-ladders/
Security Cards from the University of Washington: http://securitycards.cs.washington.edu/
Control-Alt-Hack: http://www.controlalthack.com/