——域soc-media CWRAF装饰图案细节
http://cwe.mitre.org/cwraf/
|
|
CWRAF版本:0.8.3 |
日期:2013年4月3日 |
项目协调员:
Bob Martin(斜方) |
文档编辑器:
史蒂夫Christey(斜方) |
CWRAF小品文——soc-media
CWRAF小品文——soc-media
在常见的弱点风险分析框架(CWRAF),一个装饰图案提供了一个可共享的,正式的方式来定义一个特定的环境中,软件在该环境中所扮演的角色,一个组织的优先级对软件安全。它识别必要的资源与能力,以及其重要性相对于安全原则如机密性、完整性和可用性。例如,在电子商务背景下,99.999%正常运行时间可能是一个强大的业务需求驱动的解释发现缺陷的严重程度。 小插曲让水煤浆支持不同的观众可能有不同的要求,如何优先的弱点。水煤浆得分可能发生装饰图案的上下文中。 目前这个页面包含细节2“soc-media”域中的小插曲。这些只是说明;CWRAF社区将有助于完善这些和其他发展。反馈是受欢迎的。 |
| 的名字 |
描述 |
| 社交网络 |
网站启用一个大型社区的人发表评论,创建配置文件,交换信息或图片,并加入所属团体,如Facebook, MySpace, Twitter、LinkedIn。自由格式的内容,用户之间连通性高,私人信息。沉重的Web 2.0的使用。 |
| 电子约会 |
网站电子约会。用户可以创建概要文件和图片,交换私人邮件,参与论坛,执行搜索。沉重的Web 2.0。 |
装饰图案定义:社交网络
| 的名字 |
社交网络 |
| ID |
soc-net |
| 成熟 |
例子 |
| 域 |
soc-media |
| Desc |
网站启用一个大型社区的人发表评论,创建配置文件,交换信息或图片,并加入所属团体,如Facebook, MySpace, Twitter、LinkedIn。自由格式的内容,用户之间连通性高,私人信息。沉重的Web 2.0的使用。 |
| 原型 |
面向服务的体系结构、网络浏览器、Web服务器 |
| 业务价值的上下文(BVC) |
可用性是最重要的问题。用户想要限制访问图片和私人信息,但许多人愿意放弃一些隐私一些好处(如使用习惯),或不关心它。完整性是想阻止恶意软件传播用户之间和限制劫持用户帐户,但共享数据的准确性是那么重要(例如,修改配置文件的联系信息或状态更新的欺骗)。 |
| 笔记 |
|
| 引用 |
没有引用的记录。 |
技术影响计分卡
| 影响 |
层 |
Subscore |
笔记 |
| 修改数据 |
系统 |
|
|
| 修改数据 |
应用程序 |
7 |
篡改或删除用户配置文件,关系,联系信息,私人或公共信息。破坏或重定向用户恶意软件的网站。 |
| 修改数据 |
网络 |
|
|
| 修改数据 |
企业 |
|
|
| 读取数据 |
系统 |
|
|
| 读取数据 |
应用程序 |
4 |
窃取数据相关基本PII(电话、电子邮件、地址、位置),与他人关系,阅读私人通信。 |
| 读取数据 |
网络 |
|
|
| 读取数据 |
企业 |
|
|
| DoS:不可靠的执行 |
系统 |
|
|
| DoS:不可靠的执行 |
应用程序 |
9 |
客户不能使用网站;经济损失由于停机时间。 |
| DoS:不可靠的执行 |
网络 |
9 |
客户无法到达现场;经济损失由于停机时间。如果DNS被攻陷,客户可能被重定向到恶意网站。 |
| DoS:不可靠的执行 |
企业 |
|
|
| DoS:资源消耗 |
系统 |
7 |
客户经验延迟到达现场;性能是非常缓慢;可能减少网站的并发用户的数量。 |
| DoS:资源消耗 |
应用程序 |
7 |
客户经验延迟到达现场;性能是非常缓慢;可能减少网站的并发用户的数量。 |
| DoS:资源消耗 |
网络 |
7 |
客户经验延迟到达现场;性能是非常缓慢;可能减少网站的并发用户的数量。 |
| DoS:资源消耗 |
企业 |
|
|
| 执行未经授权的代码或命令 |
系统 |
10 |
修改或窃取敏感数据;关闭服务或者使用系统能力攻击其他系统。 |
| 执行未经授权的代码或命令 |
应用程序 |
|
|
| 执行未经授权的代码或命令 |
网络 |
|
|
| 执行未经授权的代码或命令 |
企业 |
|
|
| 获得特权/假设的身份 |
系统 |
|
|
| 获得特权/假设的身份 |
应用程序 |
8 |
冒充其他用户;删除配置文件或改变隐私设置;管理应用程序。 |
| 获得特权/假设的身份 |
网络 |
|
|
| 获得特权/假设的身份 |
企业 |
|
|
| 旁路保护机制 |
系统 |
|
|
| 旁路保护机制 |
应用程序 |
8 |
避免检测的攻击;可能窃取或修改敏感数据;冒充其他用户。 |
| 旁路保护机制 |
网络 |
|
|
| 旁路保护机制 |
企业 |
|
|
| 隐藏活动 |
系统 |
3 |
不能获得足够的证据刑事起诉。 |
| 隐藏活动 |
应用程序 |
3 |
不能获得足够的证据刑事起诉。 |
| 隐藏活动 |
网络 |
3 |
不能获得足够的证据刑事起诉。 |
| 隐藏活动 |
企业 |
3 |
不能获得足够的证据刑事起诉。 |
装饰图案定义:电子约会
| 的名字 |
电子约会 |
| ID |
elec-date |
| 成熟 |
例子 |
| 域 |
soc-media |
| Desc |
网站电子约会。用户可以创建概要文件和图片,交换私人邮件,参与论坛,执行搜索。沉重的Web 2.0。 |
| 原型 |
面向服务的体系结构、网络浏览器、Web服务器 |
| 业务价值的上下文(BVC) |
机密性可能是最重要的问题。保持私人身份信息为个人安全是非常重要的。邮件消息或参与者预计将私人之间的聊天记录。信用卡信息可能存储基于订阅的服务。用户访问网站可用性是重要的,因为它是唯一的接触用户在初始阶段,直到其他沟通渠道。完整性可以有一些影响用户,修改个人信息会妨碍搜索兼容的联系人(如通过性别或年龄偏好),删除消息/参与者之间的聊天记录,或收到启用骚扰(例如通过修改的图片或描述理想的伙伴)。 |
| 笔记 |
|
| 引用 |
没有引用的记录。 |
技术影响计分卡
| 影响 |
层 |
Subscore |
笔记 |
| 修改数据 |
系统 |
|
|
| 修改数据 |
应用程序 |
|
|
| 修改数据 |
网络 |
|
|
| 修改数据 |
企业 |
|
|
| 读取数据 |
系统 |
|
|
| 读取数据 |
应用程序 |
|
|
| 读取数据 |
网络 |
|
|
| 读取数据 |
企业 |
|
|
| DoS:不可靠的执行 |
系统 |
|
|
| DoS:不可靠的执行 |
应用程序 |
|
|
| DoS:不可靠的执行 |
网络 |
|
|
| DoS:不可靠的执行 |
企业 |
|
|
| DoS:资源消耗 |
系统 |
|
|
| DoS:资源消耗 |
应用程序 |
|
|
| DoS:资源消耗 |
网络 |
|
|
| DoS:资源消耗 |
企业 |
|
|
| 执行未经授权的代码或命令 |
系统 |
|
|
| 执行未经授权的代码或命令 |
应用程序 |
|
|
| 执行未经授权的代码或命令 |
网络 |
|
|
| 执行未经授权的代码或命令 |
企业 |
|
|
| 获得特权/假设的身份 |
系统 |
|
|
| 获得特权/假设的身份 |
应用程序 |
|
|
| 获得特权/假设的身份 |
网络 |
|
|
| 获得特权/假设的身份 |
企业 |
|
|
| 旁路保护机制 |
系统 |
|
|
| 旁路保护机制 |
应用程序 |
|
|
| 旁路保护机制 |
网络 |
|
|
| 旁路保护机制 |
企业 |
|
|
| 隐藏活动 |
系统 |
|
|
| 隐藏活动 |
应用程序 |
|
|
| 隐藏活动 |
网络 |
|
|
| 隐藏活动 |
企业 |
|
|
|
