——域ecomm CWRAF装饰图案细节
http://cwe.mitre.org/cwraf/
|
|
CWRAF版本:0.8.3 |
日期:2013年4月3日 |
项目协调员:
Bob Martin(斜方) |
文档编辑器:
史蒂夫Christey(斜方) |
CWRAF小品文——ecomm
CWRAF小品文——ecomm
在常见的弱点风险分析框架(CWRAF),一个装饰图案提供了一个可共享的,正式的方式来定义一个特定的环境中,软件在该环境中所扮演的角色,一个组织的优先级对软件安全。它识别必要的资源与能力,以及其重要性相对于安全原则如机密性、完整性和可用性。例如,在电子商务背景下,99.999%正常运行时间可能是一个强大的业务需求驱动的解释发现缺陷的严重程度。 小插曲让水煤浆支持不同的观众可能有不同的要求,如何优先的弱点。水煤浆得分可能发生装饰图案的上下文中。 目前这个页面包含细节1“ecomm”域中的小插曲。这些只是说明;CWRAF社区将有助于完善这些和其他发展。反馈是受欢迎的。 |
| 的名字 |
描述 |
| 网络零售供应商 |
apple,电子商务零售商品或服务的提供者。以数据为中心的——PII数据库包含,信用卡号码,和库存。 |
装饰图案定义:网络零售供应商
| 的名字 |
网络零售供应商 |
| ID |
retail-www |
| 成熟 |
不发达 |
| 域 |
ecomm |
| Desc |
apple,电子商务零售商品或服务的提供者。以数据为中心的——PII数据库包含,信用卡号码,和库存。 |
| 原型 |
数据库、Web浏览器Web服务器,通用操作系统 |
| 业务价值的上下文(BVC) |
PII PII保密基本从财务的角度来看,身份通常不那么重要了。PCI遵从性的一个因素。安全事故可能组织影响包括经济损失、法律责任,合规/监管问题,和声誉/品牌的伤害。 |
| 笔记 |
|
| 引用 |
没有引用的记录。 |
技术影响计分卡
| 影响 |
层 |
Subscore |
笔记 |
| 修改数据 |
系统 |
9 |
篡改网页;安装恶意软件通过web页;修改系统配置。导致DoS(崩溃)或腐败的数据;在某些情况下,执行任意代码。 |
| 修改数据 |
应用程序 |
9 |
修改或删除客户订单状态和定价,联系信息,库存跟踪、客户信用卡号、密钥和密码(明文和加密)。 |
| 修改数据 |
网络 |
|
|
| 修改数据 |
企业 |
|
|
| 读取数据 |
系统 |
7 |
读取系统/应用程序配置。 |
| 读取数据 |
应用程序 |
7 |
读客户信用卡号码、客户信用卡号码、订单状态、密钥和密码(明文和未加密)。 |
| 读取数据 |
网络 |
|
|
| 读取数据 |
企业 |
|
|
| DoS:不可靠的执行 |
系统 |
|
|
| DoS:不可靠的执行 |
应用程序 |
4 |
客户不能达到网站或经验延迟到达现场;延迟订单处理和产生的经济损失。 |
| DoS:不可靠的执行 |
网络 |
|
|
| DoS:不可靠的执行 |
企业 |
|
|
| DoS:资源消耗 |
系统 |
|
|
| DoS:资源消耗 |
应用程序 |
|
|
| DoS:资源消耗 |
网络 |
|
|
| DoS:资源消耗 |
企业 |
|
|
| 执行未经授权的代码或命令 |
系统 |
10 |
读取或修改客户信用卡号码,联系信息,订单状态和定价,库存跟踪、密钥和密码(明文和加密)。导致拒绝服务。修改网站以破坏或安装恶意软件提供给客户;卸载软件至关重要。 |
| 执行未经授权的代码或命令 |
应用程序 |
10 |
读取或修改客户信用卡号码,联系信息,订单状态和定价,库存跟踪、密钥和密码(明文和加密)。导致拒绝服务。修改网站以破坏或安装恶意软件提供给客户;卸载软件至关重要。 |
| 执行未经授权的代码或命令 |
网络 |
|
|
| 执行未经授权的代码或命令 |
企业 |
|
|
| 获得特权/假设的身份 |
系统 |
9 |
攻击者可以执行管理功能的系统管理员或其他系统用户攻击者没有直接访问。 |
| 获得特权/假设的身份 |
应用程序 |
9 |
攻击者可以执行管理功能的应用程序管理,或其他用户获得特权。 |
| 获得特权/假设的身份 |
网络 |
|
|
| 获得特权/假设的身份 |
企业 |
|
|
| 旁路保护机制 |
应用程序 |
7 |
避免检测的攻击;可能窃取数据;冒充别人。 |
| 旁路保护机制 |
系统 |
7 |
避免检测的攻击;可能窃取数据;冒充别人。 |
| 旁路保护机制 |
网络 |
7 |
绕过防火墙可以保护私人系统直接上网。私人网络流量监控。 |
| 旁路保护机制 |
企业 |
7 |
妥协的安全执行MitM攻击/网络设备,监控网络流量。 |
| 隐藏活动 |
系统 |
3 |
无法确定攻击源;不能获得足够的证据刑事起诉。 |
| 隐藏活动 |
应用程序 |
3 |
无法确定攻击源;不能获得足够的证据刑事起诉。 |
| 隐藏活动 |
网络 |
3 |
无法确定攻击源;不能获得足够的证据刑事起诉。 |
| 隐藏活动 |
企业 |
3 |
无法确定攻击源;不能获得足够的证据刑事起诉。 |
|
