CWRAF细节小插曲——银行贷款领域
http://cwe.mitre.org/cwraf/
|
|
CWRAF版本:0.8.3 |
日期:2013年4月3日 |
项目协调员:
Bob Martin(斜方) |
文档编辑器:
史蒂夫Christey(斜方) |
CWRAF小品文——银行贷款
CWRAF小品文——银行贷款
在常见的弱点风险分析框架(CWRAF),一个装饰图案提供了一个可共享的,正式的方式来定义一个特定的环境中,软件在该环境中所扮演的角色,一个组织的优先级对软件安全。它识别必要的资源与能力,以及其重要性相对于安全原则如机密性、完整性和可用性。例如,在电子商务背景下,99.999%正常运行时间可能是一个强大的业务需求驱动的解释发现缺陷的严重程度。 小插曲让水煤浆支持不同的观众可能有不同的要求,如何优先的弱点。水煤浆得分可能发生装饰图案的上下文中。 目前这个页面包含细节2“银行贷款”域中的小插曲。这些只是说明;CWRAF社区将有助于完善这些和其他发展。反馈是受欢迎的。 |
| 的名字 |
描述 |
| 金融交易 |
apple,电子商务零售商品或服务的提供者。以数据为中心的——PII数据库包含,信用卡号码,和库存。 |
| 网上银行 |
之间的网络交互银行,信用合作社,或其他金融机构和消费者管理账户,支付账单,进行金融交易。 |
装饰图案定义:金融交易
| 的名字 |
金融交易 |
| ID |
鱼翅交易 |
| 成熟 |
不发达 |
| 域 |
银行贷款 |
| Desc |
apple,电子商务零售商品或服务的提供者。以数据为中心的——PII数据库包含,信用卡号码,和库存。 |
| 原型 |
n层分布式J2EE和支持框架,事务引擎 |
| 业务价值的上下文(BVC) |
高完整性——事务不能修改。可用性也很高——如果系统下降,金融交易可以停止和关键事务没有处理。 |
| 笔记 |
|
| 引用 |
没有引用的记录。 |
技术影响计分卡
| 影响 |
层 |
Subscore |
笔记 |
| 修改数据 |
系统 |
|
|
| 修改数据 |
应用程序 |
8 |
删除或修改交易;注入欺诈性交易;删除事务历史。 |
| 修改数据 |
网络 |
|
|
| 修改数据 |
企业 |
|
|
| 读取数据 |
系统 |
|
|
| 读取数据 |
应用程序 |
7 |
使内幕交易;违反保密多个政党之间的交易。 |
| 读取数据 |
网络 |
|
|
| 读取数据 |
企业 |
|
|
| DoS:资源消耗 |
系统 |
|
|
| DoS:资源消耗 |
应用程序 |
4 |
丢失或multiply-filed交易由于高容量或交通;可能的DoS对下游系统的影响。无法处理新事务,或者比平时要花很长的时间来执行。显著减少数量的事务处理。 |
| DoS:资源消耗 |
网络 |
|
|
| DoS:资源消耗 |
企业 |
|
|
| DoS:不可靠的执行 |
系统 |
|
|
| DoS:不可靠的执行 |
应用程序 |
5 |
无法处理新事务,或者比平时要花很长的时间来执行。显著减少数量的事务处理。跟踪是否交易成功困难;中断的时间敏感业务小延迟可能具有重要的经济后果。 |
| DoS:不可靠的执行 |
网络 |
|
|
| DoS:不可靠的执行 |
企业 |
|
|
| 执行未经授权的代码或命令 |
应用程序 |
10 |
窃取财务数据,使未经授权的交易。 |
| 执行未经授权的代码或命令 |
系统 |
10 |
禁用基本服务。 |
| 执行未经授权的代码或命令 |
网络 |
8 |
让欺诈性交易似乎来自受害者用户。财务和声誉损失的受害者。 |
| 获得特权/假设的身份 |
网络 |
7 |
避免检测的攻击;可能窃取数据;冒充别人。 |
| 旁路保护机制 |
应用程序 |
3 |
不能获得足够的证据刑事起诉。 |
| 隐藏活动 |
应用程序 |
3 |
不能获得足够的证据刑事起诉。 |
| 隐藏活动 |
网络 |
|
|
| 隐藏活动 |
企业 |
|
|
装饰图案定义:网上银行
| 的名字 |
网上银行 |
| ID |
电子银行 |
| 成熟 |
存根 |
| 域 |
银行贷款 |
| Desc |
之间的网络交互银行,信用合作社,或其他金融机构和消费者管理账户,支付账单,进行金融交易。 |
| 原型 |
Web浏览器、Web服务器、数据库、事务引擎 |
| 业务价值的上下文(BVC) |
高完整性——事务不能修改。可用性是温和,其他途径的沟通存在,例如物理访问。机密性高,由于客户隐私问题,由于身份盗窃财务损失的风险。 |
| 笔记 |
|
| 引用 |
没有引用的记录。 |
技术影响计分卡
| 影响 |
层 |
Subscore |
笔记 |
| 修改数据 |
系统 |
|
|
| 修改数据 |
应用程序 |
|
|
| 修改数据 |
网络 |
|
|
| 修改数据 |
企业 |
|
|
| 读取数据 |
系统 |
|
|
| 读取数据 |
应用程序 |
|
|
| 读取数据 |
网络 |
|
|
| 读取数据 |
企业 |
|
|
| DoS:不可靠的执行 |
系统 |
|
|
| DoS:不可靠的执行 |
应用程序 |
|
|
| DoS:不可靠的执行 |
网络 |
|
|
| DoS:不可靠的执行 |
企业 |
|
|
| DoS:资源消耗 |
系统 |
|
|
| DoS:资源消耗 |
应用程序 |
|
|
| DoS:资源消耗 |
网络 |
|
|
| DoS:资源消耗 |
企业 |
|
|
| 执行未经授权的代码或命令 |
系统 |
|
|
| 执行未经授权的代码或命令 |
应用程序 |
|
|
| 执行未经授权的代码或命令 |
网络 |
|
|
| 执行未经授权的代码或命令 |
企业 |
|
|
| 获得特权/假设的身份 |
系统 |
|
|
| 获得特权/假设的身份 |
应用程序 |
|
|
| 获得特权/假设的身份 |
网络 |
|
|
| 获得特权/假设的身份 |
企业 |
|
|
| 旁路保护机制 |
系统 |
|
|
| 旁路保护机制 |
应用程序 |
|
|
| 旁路保护机制 |
网络 |
|
|
| 旁路保护机制 |
企业 |
|
|
| 隐藏活动 |
系统 |
|
|
| 隐藏活动 |
应用程序 |
|
|
| 隐藏活动 |
网络 |
|
|
| 隐藏活动 |
企业 |
|
|
|
