常用
####

SSL 终止: SSL termination


混淆代理人问题::

    在服务间通信的上下文中，攻击者采用一些措施欺骗代理服务，让它调用其下游服务，从而做到一些他不应该能做的事情
    如:
        作为一个用户，当我登录到在线购物系统时，可以查看我的账户详情。
        但如果我使用登录后的凭证，欺骗在线购物用户界面去请求别人的信息


* OWASP（Open Web Application Security Project，开放式 Web 应用程序安全项目: https://www.owasp.org/


网络攻击手段::

    xss 攻击、
    注入攻击、 
    CSRF 攻击、
    文件上传漏洞
    DDoS攻击




safe检测
============

* https://myssl.com/
* https://httpsecurityreport.com/
* https://www.ssllabs.com/
  


安全公司或者安全组织
--------------------

比如国内的绿盟，国外的 CSA（Cloud Security Alliance，云安全联盟）、IIC（Industrial Internet Consortium，工业互联网联盟）和 IoTSF（IoT Security Foundation，物联网安全基金会）


构建威胁模型
------------

* OWASP 提出的威胁建模备忘清单
* 开源的工具可以使用，名称是 Threat Dragon
* 微软的威胁建模工具
* 微软的 STRIDE 模型

STRIDE 模型将威胁分为六种不同的类型::

    欺骗、篡改、否认、信息泄露、拒绝服务和权限提升