Tool Platform
Threat Model Canvas
Workspace
威胁建模画布
搜索工具
网络安全
威胁建模画布
整理资产、入口、信任边界、STRIDE 威胁和缓解措施。
收藏
本地简单运行
运行方式
本地简单运行
标签
threat-model
stride
security
architecture
canvas
工具标识
threat-model-canvas
Worker
无需启用
权限
剪贴板
使用指南
开始使用
按 STRIDE 框架建模系统威胁,识别资产、入口点和缓解措施。
使用步骤
填写系统资产和入口点。
定义信任边界并分析 STRIDE 威胁。
记录缓解措施和状态。
使用例子
为 Web 应用进行 STRIDE 威胁建模。
评估微服务架构的信任边界风险。
加载中
威胁建模画布
工具微前端加载中。
威胁建模画布 | Tool Platform
安全架构
威胁建模画布
整理资产、入口、信任边界、STRIDE 威胁和缓解措施。
Spoofing
Tampering
Repudiation
Information Disclosure
Denial of Service
Elevation of Privilege
复制 Markdown
Assets
User profiles OAuth tokens Billing records
Actors
End user Admin Payment provider Background worker
Entry points
POST /api/session Webhook /billing/events Admin dashboard
Trust boundaries
Browser to API API to database Public webhook to backend
Data flows
Browser -> API -> database Provider -> webhook -> queue -> worker
Assumptions
All admin users use SSO Webhook provider signs every request
Controls
MFA for admins HMAC webhook verification Structured audit log
复查提示
Spoofing: 身份、Token、Webhook 签名和服务间认证是否可被伪造。
Tampering: 请求参数、队列消息、配置和对象存储内容是否可被篡改。
Information Disclosure: 日志、错误、缓存、导出文件和跨租户查询是否泄露数据。
Elevation of Privilege: 角色、租户边界、管理端点和后台任务是否可能越权。
Markdown 报告
# Threat Model Canvas ## Assets User profiles OAuth tokens Billing records ## Actors End user Admin Payment provider Background worker ## Entry Points POST /api/session Webhook /billing/events Admin dashboard ## Trust Boundaries Browser to API API to database Public webhook to backend ## Data Flows Browser -> API -> database Provider -> webhook -> queue -> worker ## STRIDE Focus - Spoofing - Tampering - Information Disclosure - Elevation of Privilege ## Existing Controls MFA for admins HMAC webhook verification Structured audit log ## Assumptions All admin users use SSO Webhook provider signs every request ## Review Prompts - Spoofing: 身份、Token、Webhook 签名和服务间认证是否可被伪造。 - Tampering: 请求参数、队列消息、配置和对象存储内容是否可被篡改。 - Information Disclosure: 日志、错误、缓存、导出文件和跨租户查询是否泄露数据。 - Elevation of Privilege: 角色、租户边界、管理端点和后台任务是否可能越权。