©iteratec Java Security Gut dokumen+ert ist halb gesichert! Benjamin Pfänder und Dr. Jan Chris8an Krause Benjamin Pfänder und Dr. Jan Christian Krause 30.09.2016
Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
©ite
ratec
Java Security
Gutdokumen+ertisthalbgesichert!
BenjaminPfänderundDr.JanChris8anKrause
Benjamin Pfänder und Dr. Jan Christian Krause 30.09.2016
BeiwemeinPenetra+onstest
wurdeschoneinmal
durchgeführt ?
einPentesterWie ?arbeitet
©ite
ratec
!broken
DasSessionManagementist
Ja.Aber...
!broken
DasSessionManagementist
MeineApplika+on
Qualitätszielemussdie
erreichen
!
DatenleckdurchunverschlüsselteÜbertragung
!DatenleckdurchunverschlüsselteÜbertragung
Ja...S8mmt.
!DatenleckdurchunverschlüsselteÜbertragung
Ja...S8mmt.
Release!!
SicherheitslückeinPacksta+onen
MS.de
Warum?
verhindernkönnenWie ?
häHenwirdas
anschauen
Indem !Bedrohungenwirunsdie
Systeme
Systeme
Schni&stellen
Systeme
Schni+stellen
Aktoren
Infrastruktur
Systeme
Schni+stellen
Aktoren
Infrastruktur
Systeme
Schni1stellen
Aktorentechn.Komponenten
Infrastruktur
Systeme
Schni1stellen
Aktorentechn.Komponenten
Bedrohungen
Infrastruktur
Systeme
Schni1stellen
Aktorentechn.Komponenten
Bedrohungen
Maßnahmen
DieArchitekturdokuunterstütztdenProzess
« system»Packstation
PaketempfängerPaketbote
Wertmarken-kunde
Wartungs-techniker
Bezahlsystem
Global HR System
SMS-Versandanbieter
Global TrackingSystem
0 .. *0 .. * 0 .. *
0 .. *
1
1 1
1
Kontextsicht
« system»Packstation
PaketempfängerPaketbote
Wertmarken-kunde
Wartungs-techniker
Bezahlsystem
Global HR System
SMS-Versandanbieter
Global TrackingSystem
0 .. *0 .. * 0 .. *
0 .. *
1
1 1
1
Kontextsicht
« system»Packstation
« subsystem»
Paket App
« subsystem»
Station
« subsystem»
meinesendung.de
« subsystem»
Package Management System
« subsystem»
Account Management System
MTAN
Sendungs-verfolgung
Postfach
Wertmarken-kiosk
Wartungsterminal
Kundendatenpflege
Registrierung
Bezahlsystem
Global HR System
SMS-Versand
Global Tracking System
Bausteinsicht
Bausteinsicht
Verteilungssicht
Verteilungssicht
Datenmodell
Sendung
SendungsNrGrößenKat
Sendungsart
entspricht
Packstation
KennungStandortNächsteWartung
Mitarbeiter
NameVornameStufePasswort
wartet & pflegt
empfängtSendungen
an
versendet
ist adressiert
an
FachNr
Transaktionsnummer
TANGültigBIS
AbholungBis
AnlieferungAm
Kunde
GeschlechtAnschriftE-MailPasswortKartenNr
1
*
**
*
*
*
*
1
1
*
Datenmodell
Kontextsicht Akteure
externeSchniHstellenundNachbarsysteme
Kontextsicht
Bausteinsicht
Akteure
externeSchniHstellenundNachbarsysteme
Systeme
SchniHstellen
interneKomm.
Kontextsicht
Bausteinsicht
VerteilungssichtAkteure
externeSchniHstellenundNachbarsysteme
Technologien
Infrastrukturtechn.Kommunika+on
Systeme
SchniHstellen
interneKomm.
Kontextsicht
Bausteinsicht
Verteilungssicht
Datenmodell
Akteure
externeSchniHstellenundNachbarsysteme
Technologien
Infrastrukturtechn.Kommunika+on
Systeme
SchniHstellen
interneKomm.
Assets
AccountManagementSystemSta8on
meinesendung.de PackageMgmtSystem
PaketApp
SystemeundSchniHstellen
AccountManagementSystemStation
meinesendung.de PackageMgmtSystem
PaketApp
SMSVersand
Bezahlsystem
Paketempfänger
Paketbote
AktorenundNachbarsysteme
AccountManagementSystemStation
meinesendung.de PackageMgmtSystem
PaketApp
Bezahlsystem
Paketempfänger
Paketbote
SMSVersand
KundeMitarbeiter
Transak8ons-nummer
Assets
AccountManagementSystemStation
meinesendung.de PackageMgmtSystem
PaketApp
Bezahlsystem
Paketempfänger
Paketbote
SMSVersand
KundeMitarbeiter
Transak8ons-nummer
Technologien,ISundtechn.Kommunika+on
WEB Java,Tomcat
AccountManagementSystemStation
meinesendung.de PackageMgmtSystem
PaketApp
Bezahlsystem
Paketempfänger
Paketbote
SMSVersand
KundeMitarbeiter
Transak8ons-nummer
Vertrauensgrenzen
WEB Java,Tomcat
AccountManagementSystemStation
meinesendung.de PackageMgmtSystem
PaketApp
Bezahlsystem
Paketempfänger
Paketbote
SMSVersand
KundeMitarbeiter
Transak8ons-nummer
Vertrauensgrenzen
WEB Java,Tomcat
AccountManagementSystemStation
meinesendung.de PackageMgmtSystem
PaketApp
Bezahlsystem
Paketempfänger
Paketbote
SMSVersand
KundeMitarbeiter
Transak8ons-nummer
Vertrauensgrenzen
WEB Java,Tomcat
Paketempfangen
Prozess
AccountManagementSystemStation
meinesendung.de PackageMgmtSystem
PaketApp
Paketempfangen
Bezahlsystem
Paketempfänger
Paketbote
SMSVersand
Kunde
Transak8ons-nummer
WEB Java,Tomcat
SpoofingTamperingRepudia8onInforma8onDisclosureDenialofserviceEleva8onofprivilege
Bedroh
ungen EinAngreiferals“Kunde“umgehtdie2-Faktor
Authen8fizierungdurchdieMobileAPIumTransak8onsnummernzuerhalten.
EinAngreifergibtsichalsPaketmitarbeiterausindemerdiegeheimePin1337errätundander
Sta8oneingibt.
Bedroh
ungen EinAngreiferals“Kunde“umgehtdie2-Faktor
Authen8fizierungdurchdieMobileAPIumTransak8onsnummernzuerhalten.
EinAngreiferals“Kunde“umgehtdie2-FaktorAuthen8fizierungdurchdieMobileAPIum
Transak8onsnummernzuerhalten.
EinAngreifergibtsichalsPaketmitarbeiterausindemerdiegeheimePin1337errätundander
Sta8oneingibt.
Priorisierung
5
3
EinAngreiferals“Kunde“umgehtdie2-FaktorAuthen8fizierungdurchdieMobileAPIum
Transak8onsnummernzuerhalten.
DerKundemussseinGerätzunächstmitderAppkoppelnumeineeindeu8geGeräte-IDzu
generieren.
Maßnahmen
5
Zurückfließen
Architekturdokulassenindie
www.iteratec.de
Benjamin Pfänder Mail: [email protected] Dr. Jan Christian Krause
Mail: [email protected] Twitter: @idocit Github: github.com/jankrause
Related Documents
