gut dokumentiert ist halb gesichert
TRANSCRIPT
![Page 1: Gut dokumentiert ist halb gesichert](https://reader030.vdocuments.pub/reader030/viewer/2022020213/58a69a9c1a28abbd568b5f4b/html5/thumbnails/1.jpg)
©ite
ratec
Java Security
Gutdokumen+ertisthalbgesichert!
BenjaminPfänderundDr.JanChris8anKrause
Benjamin Pfänder und Dr. Jan Christian Krause 30.09.2016
![Page 2: Gut dokumentiert ist halb gesichert](https://reader030.vdocuments.pub/reader030/viewer/2022020213/58a69a9c1a28abbd568b5f4b/html5/thumbnails/2.jpg)
BeiwemeinPenetra+onstest
wurdeschoneinmal
durchgeführt ?
![Page 3: Gut dokumentiert ist halb gesichert](https://reader030.vdocuments.pub/reader030/viewer/2022020213/58a69a9c1a28abbd568b5f4b/html5/thumbnails/3.jpg)
![Page 4: Gut dokumentiert ist halb gesichert](https://reader030.vdocuments.pub/reader030/viewer/2022020213/58a69a9c1a28abbd568b5f4b/html5/thumbnails/4.jpg)
einPentesterWie ?arbeitet
![Page 5: Gut dokumentiert ist halb gesichert](https://reader030.vdocuments.pub/reader030/viewer/2022020213/58a69a9c1a28abbd568b5f4b/html5/thumbnails/5.jpg)
©ite
ratec
![Page 6: Gut dokumentiert ist halb gesichert](https://reader030.vdocuments.pub/reader030/viewer/2022020213/58a69a9c1a28abbd568b5f4b/html5/thumbnails/6.jpg)
![Page 7: Gut dokumentiert ist halb gesichert](https://reader030.vdocuments.pub/reader030/viewer/2022020213/58a69a9c1a28abbd568b5f4b/html5/thumbnails/7.jpg)
![Page 8: Gut dokumentiert ist halb gesichert](https://reader030.vdocuments.pub/reader030/viewer/2022020213/58a69a9c1a28abbd568b5f4b/html5/thumbnails/8.jpg)
!broken
DasSessionManagementist
![Page 9: Gut dokumentiert ist halb gesichert](https://reader030.vdocuments.pub/reader030/viewer/2022020213/58a69a9c1a28abbd568b5f4b/html5/thumbnails/9.jpg)
Ja.Aber...
!broken
DasSessionManagementist
![Page 10: Gut dokumentiert ist halb gesichert](https://reader030.vdocuments.pub/reader030/viewer/2022020213/58a69a9c1a28abbd568b5f4b/html5/thumbnails/10.jpg)
MeineApplika+on
Qualitätszielemussdie
erreichen
![Page 11: Gut dokumentiert ist halb gesichert](https://reader030.vdocuments.pub/reader030/viewer/2022020213/58a69a9c1a28abbd568b5f4b/html5/thumbnails/11.jpg)
!
DatenleckdurchunverschlüsselteÜbertragung
![Page 12: Gut dokumentiert ist halb gesichert](https://reader030.vdocuments.pub/reader030/viewer/2022020213/58a69a9c1a28abbd568b5f4b/html5/thumbnails/12.jpg)
!DatenleckdurchunverschlüsselteÜbertragung
Ja...S8mmt.
![Page 13: Gut dokumentiert ist halb gesichert](https://reader030.vdocuments.pub/reader030/viewer/2022020213/58a69a9c1a28abbd568b5f4b/html5/thumbnails/13.jpg)
!DatenleckdurchunverschlüsselteÜbertragung
Ja...S8mmt.
![Page 14: Gut dokumentiert ist halb gesichert](https://reader030.vdocuments.pub/reader030/viewer/2022020213/58a69a9c1a28abbd568b5f4b/html5/thumbnails/14.jpg)
![Page 15: Gut dokumentiert ist halb gesichert](https://reader030.vdocuments.pub/reader030/viewer/2022020213/58a69a9c1a28abbd568b5f4b/html5/thumbnails/15.jpg)
![Page 16: Gut dokumentiert ist halb gesichert](https://reader030.vdocuments.pub/reader030/viewer/2022020213/58a69a9c1a28abbd568b5f4b/html5/thumbnails/16.jpg)
![Page 17: Gut dokumentiert ist halb gesichert](https://reader030.vdocuments.pub/reader030/viewer/2022020213/58a69a9c1a28abbd568b5f4b/html5/thumbnails/17.jpg)
Release!!
![Page 18: Gut dokumentiert ist halb gesichert](https://reader030.vdocuments.pub/reader030/viewer/2022020213/58a69a9c1a28abbd568b5f4b/html5/thumbnails/18.jpg)
SicherheitslückeinPacksta+onen
MS.de
![Page 19: Gut dokumentiert ist halb gesichert](https://reader030.vdocuments.pub/reader030/viewer/2022020213/58a69a9c1a28abbd568b5f4b/html5/thumbnails/19.jpg)
Warum?
![Page 20: Gut dokumentiert ist halb gesichert](https://reader030.vdocuments.pub/reader030/viewer/2022020213/58a69a9c1a28abbd568b5f4b/html5/thumbnails/20.jpg)
![Page 21: Gut dokumentiert ist halb gesichert](https://reader030.vdocuments.pub/reader030/viewer/2022020213/58a69a9c1a28abbd568b5f4b/html5/thumbnails/21.jpg)
verhindernkönnenWie ?
häHenwirdas
![Page 22: Gut dokumentiert ist halb gesichert](https://reader030.vdocuments.pub/reader030/viewer/2022020213/58a69a9c1a28abbd568b5f4b/html5/thumbnails/22.jpg)
anschauen
Indem !Bedrohungenwirunsdie
![Page 23: Gut dokumentiert ist halb gesichert](https://reader030.vdocuments.pub/reader030/viewer/2022020213/58a69a9c1a28abbd568b5f4b/html5/thumbnails/23.jpg)
Systeme
![Page 24: Gut dokumentiert ist halb gesichert](https://reader030.vdocuments.pub/reader030/viewer/2022020213/58a69a9c1a28abbd568b5f4b/html5/thumbnails/24.jpg)
Systeme
Schni&stellen
![Page 25: Gut dokumentiert ist halb gesichert](https://reader030.vdocuments.pub/reader030/viewer/2022020213/58a69a9c1a28abbd568b5f4b/html5/thumbnails/25.jpg)
Systeme
Schni+stellen
Aktoren
![Page 26: Gut dokumentiert ist halb gesichert](https://reader030.vdocuments.pub/reader030/viewer/2022020213/58a69a9c1a28abbd568b5f4b/html5/thumbnails/26.jpg)
Infrastruktur
Systeme
Schni+stellen
Aktoren
![Page 27: Gut dokumentiert ist halb gesichert](https://reader030.vdocuments.pub/reader030/viewer/2022020213/58a69a9c1a28abbd568b5f4b/html5/thumbnails/27.jpg)
Infrastruktur
Systeme
Schni1stellen
Aktorentechn.Komponenten
![Page 28: Gut dokumentiert ist halb gesichert](https://reader030.vdocuments.pub/reader030/viewer/2022020213/58a69a9c1a28abbd568b5f4b/html5/thumbnails/28.jpg)
Infrastruktur
Systeme
Schni1stellen
Aktorentechn.Komponenten
Bedrohungen
![Page 29: Gut dokumentiert ist halb gesichert](https://reader030.vdocuments.pub/reader030/viewer/2022020213/58a69a9c1a28abbd568b5f4b/html5/thumbnails/29.jpg)
Infrastruktur
Systeme
Schni1stellen
Aktorentechn.Komponenten
Bedrohungen
Maßnahmen
![Page 30: Gut dokumentiert ist halb gesichert](https://reader030.vdocuments.pub/reader030/viewer/2022020213/58a69a9c1a28abbd568b5f4b/html5/thumbnails/30.jpg)
DieArchitekturdokuunterstütztdenProzess
![Page 31: Gut dokumentiert ist halb gesichert](https://reader030.vdocuments.pub/reader030/viewer/2022020213/58a69a9c1a28abbd568b5f4b/html5/thumbnails/31.jpg)
« system»Packstation
PaketempfängerPaketbote
Wertmarken-kunde
Wartungs-techniker
Bezahlsystem
Global HR System
SMS-Versandanbieter
Global TrackingSystem
0 .. *0 .. * 0 .. *
0 .. *
1
1 1
1
Kontextsicht
![Page 32: Gut dokumentiert ist halb gesichert](https://reader030.vdocuments.pub/reader030/viewer/2022020213/58a69a9c1a28abbd568b5f4b/html5/thumbnails/32.jpg)
« system»Packstation
PaketempfängerPaketbote
Wertmarken-kunde
Wartungs-techniker
Bezahlsystem
Global HR System
SMS-Versandanbieter
Global TrackingSystem
0 .. *0 .. * 0 .. *
0 .. *
1
1 1
1
Kontextsicht
![Page 33: Gut dokumentiert ist halb gesichert](https://reader030.vdocuments.pub/reader030/viewer/2022020213/58a69a9c1a28abbd568b5f4b/html5/thumbnails/33.jpg)
« system»Packstation
« subsystem»
Paket App
« subsystem»
Station
« subsystem»
meinesendung.de
« subsystem»
Package Management System
« subsystem»
Account Management System
MTAN
Sendungs-verfolgung
Postfach
Wertmarken-kiosk
Wartungsterminal
Kundendatenpflege
Registrierung
Bezahlsystem
Global HR System
SMS-Versand
Global Tracking System
Bausteinsicht
![Page 34: Gut dokumentiert ist halb gesichert](https://reader030.vdocuments.pub/reader030/viewer/2022020213/58a69a9c1a28abbd568b5f4b/html5/thumbnails/34.jpg)
Bausteinsicht
![Page 35: Gut dokumentiert ist halb gesichert](https://reader030.vdocuments.pub/reader030/viewer/2022020213/58a69a9c1a28abbd568b5f4b/html5/thumbnails/35.jpg)
Verteilungssicht
![Page 36: Gut dokumentiert ist halb gesichert](https://reader030.vdocuments.pub/reader030/viewer/2022020213/58a69a9c1a28abbd568b5f4b/html5/thumbnails/36.jpg)
Verteilungssicht
![Page 37: Gut dokumentiert ist halb gesichert](https://reader030.vdocuments.pub/reader030/viewer/2022020213/58a69a9c1a28abbd568b5f4b/html5/thumbnails/37.jpg)
Datenmodell
![Page 38: Gut dokumentiert ist halb gesichert](https://reader030.vdocuments.pub/reader030/viewer/2022020213/58a69a9c1a28abbd568b5f4b/html5/thumbnails/38.jpg)
Sendung
SendungsNrGrößenKat
Sendungsart
entspricht
Packstation
KennungStandortNächsteWartung
Mitarbeiter
NameVornameStufePasswort
wartet & pflegt
empfängtSendungen
an
versendet
ist adressiert
an
FachNr
Transaktionsnummer
TANGültigBIS
AbholungBis
AnlieferungAm
Kunde
GeschlechtAnschriftE-MailPasswortKartenNr
1
*
**
*
*
*
*
1
1
*
Datenmodell
![Page 39: Gut dokumentiert ist halb gesichert](https://reader030.vdocuments.pub/reader030/viewer/2022020213/58a69a9c1a28abbd568b5f4b/html5/thumbnails/39.jpg)
Kontextsicht Akteure
externeSchniHstellenundNachbarsysteme
![Page 40: Gut dokumentiert ist halb gesichert](https://reader030.vdocuments.pub/reader030/viewer/2022020213/58a69a9c1a28abbd568b5f4b/html5/thumbnails/40.jpg)
Kontextsicht
Bausteinsicht
Akteure
externeSchniHstellenundNachbarsysteme
Systeme
SchniHstellen
interneKomm.
![Page 41: Gut dokumentiert ist halb gesichert](https://reader030.vdocuments.pub/reader030/viewer/2022020213/58a69a9c1a28abbd568b5f4b/html5/thumbnails/41.jpg)
Kontextsicht
Bausteinsicht
VerteilungssichtAkteure
externeSchniHstellenundNachbarsysteme
Technologien
Infrastrukturtechn.Kommunika+on
Systeme
SchniHstellen
interneKomm.
![Page 42: Gut dokumentiert ist halb gesichert](https://reader030.vdocuments.pub/reader030/viewer/2022020213/58a69a9c1a28abbd568b5f4b/html5/thumbnails/42.jpg)
Kontextsicht
Bausteinsicht
Verteilungssicht
Datenmodell
Akteure
externeSchniHstellenundNachbarsysteme
Technologien
Infrastrukturtechn.Kommunika+on
Systeme
SchniHstellen
interneKomm.
Assets
![Page 43: Gut dokumentiert ist halb gesichert](https://reader030.vdocuments.pub/reader030/viewer/2022020213/58a69a9c1a28abbd568b5f4b/html5/thumbnails/43.jpg)
AccountManagementSystemSta8on
meinesendung.de PackageMgmtSystem
PaketApp
SystemeundSchniHstellen
![Page 44: Gut dokumentiert ist halb gesichert](https://reader030.vdocuments.pub/reader030/viewer/2022020213/58a69a9c1a28abbd568b5f4b/html5/thumbnails/44.jpg)
AccountManagementSystemStation
meinesendung.de PackageMgmtSystem
PaketApp
SMSVersand
Bezahlsystem
Paketempfänger
Paketbote
AktorenundNachbarsysteme
![Page 45: Gut dokumentiert ist halb gesichert](https://reader030.vdocuments.pub/reader030/viewer/2022020213/58a69a9c1a28abbd568b5f4b/html5/thumbnails/45.jpg)
AccountManagementSystemStation
meinesendung.de PackageMgmtSystem
PaketApp
Bezahlsystem
Paketempfänger
Paketbote
SMSVersand
KundeMitarbeiter
Transak8ons-nummer
Assets
![Page 46: Gut dokumentiert ist halb gesichert](https://reader030.vdocuments.pub/reader030/viewer/2022020213/58a69a9c1a28abbd568b5f4b/html5/thumbnails/46.jpg)
AccountManagementSystemStation
meinesendung.de PackageMgmtSystem
PaketApp
Bezahlsystem
Paketempfänger
Paketbote
SMSVersand
KundeMitarbeiter
Transak8ons-nummer
Technologien,ISundtechn.Kommunika+on
WEB Java,Tomcat
![Page 47: Gut dokumentiert ist halb gesichert](https://reader030.vdocuments.pub/reader030/viewer/2022020213/58a69a9c1a28abbd568b5f4b/html5/thumbnails/47.jpg)
AccountManagementSystemStation
meinesendung.de PackageMgmtSystem
PaketApp
Bezahlsystem
Paketempfänger
Paketbote
SMSVersand
KundeMitarbeiter
Transak8ons-nummer
Vertrauensgrenzen
WEB Java,Tomcat
![Page 48: Gut dokumentiert ist halb gesichert](https://reader030.vdocuments.pub/reader030/viewer/2022020213/58a69a9c1a28abbd568b5f4b/html5/thumbnails/48.jpg)
AccountManagementSystemStation
meinesendung.de PackageMgmtSystem
PaketApp
Bezahlsystem
Paketempfänger
Paketbote
SMSVersand
KundeMitarbeiter
Transak8ons-nummer
Vertrauensgrenzen
WEB Java,Tomcat
![Page 49: Gut dokumentiert ist halb gesichert](https://reader030.vdocuments.pub/reader030/viewer/2022020213/58a69a9c1a28abbd568b5f4b/html5/thumbnails/49.jpg)
AccountManagementSystemStation
meinesendung.de PackageMgmtSystem
PaketApp
Bezahlsystem
Paketempfänger
Paketbote
SMSVersand
KundeMitarbeiter
Transak8ons-nummer
Vertrauensgrenzen
WEB Java,Tomcat
![Page 50: Gut dokumentiert ist halb gesichert](https://reader030.vdocuments.pub/reader030/viewer/2022020213/58a69a9c1a28abbd568b5f4b/html5/thumbnails/50.jpg)
Paketempfangen
Prozess
![Page 51: Gut dokumentiert ist halb gesichert](https://reader030.vdocuments.pub/reader030/viewer/2022020213/58a69a9c1a28abbd568b5f4b/html5/thumbnails/51.jpg)
AccountManagementSystemStation
meinesendung.de PackageMgmtSystem
PaketApp
Paketempfangen
Bezahlsystem
Paketempfänger
Paketbote
SMSVersand
Kunde
Transak8ons-nummer
WEB Java,Tomcat
![Page 52: Gut dokumentiert ist halb gesichert](https://reader030.vdocuments.pub/reader030/viewer/2022020213/58a69a9c1a28abbd568b5f4b/html5/thumbnails/52.jpg)
SpoofingTamperingRepudia8onInforma8onDisclosureDenialofserviceEleva8onofprivilege
![Page 53: Gut dokumentiert ist halb gesichert](https://reader030.vdocuments.pub/reader030/viewer/2022020213/58a69a9c1a28abbd568b5f4b/html5/thumbnails/53.jpg)
![Page 54: Gut dokumentiert ist halb gesichert](https://reader030.vdocuments.pub/reader030/viewer/2022020213/58a69a9c1a28abbd568b5f4b/html5/thumbnails/54.jpg)
Bedroh
ungen EinAngreiferals“Kunde“umgehtdie2-Faktor
Authen8fizierungdurchdieMobileAPIumTransak8onsnummernzuerhalten.
![Page 55: Gut dokumentiert ist halb gesichert](https://reader030.vdocuments.pub/reader030/viewer/2022020213/58a69a9c1a28abbd568b5f4b/html5/thumbnails/55.jpg)
EinAngreifergibtsichalsPaketmitarbeiterausindemerdiegeheimePin1337errätundander
Sta8oneingibt.
Bedroh
ungen EinAngreiferals“Kunde“umgehtdie2-Faktor
Authen8fizierungdurchdieMobileAPIumTransak8onsnummernzuerhalten.
![Page 56: Gut dokumentiert ist halb gesichert](https://reader030.vdocuments.pub/reader030/viewer/2022020213/58a69a9c1a28abbd568b5f4b/html5/thumbnails/56.jpg)
EinAngreiferals“Kunde“umgehtdie2-FaktorAuthen8fizierungdurchdieMobileAPIum
Transak8onsnummernzuerhalten.
EinAngreifergibtsichalsPaketmitarbeiterausindemerdiegeheimePin1337errätundander
Sta8oneingibt.
Priorisierung
5
3
![Page 57: Gut dokumentiert ist halb gesichert](https://reader030.vdocuments.pub/reader030/viewer/2022020213/58a69a9c1a28abbd568b5f4b/html5/thumbnails/57.jpg)
EinAngreiferals“Kunde“umgehtdie2-FaktorAuthen8fizierungdurchdieMobileAPIum
Transak8onsnummernzuerhalten.
DerKundemussseinGerätzunächstmitderAppkoppelnumeineeindeu8geGeräte-IDzu
generieren.
Maßnahmen
5
![Page 58: Gut dokumentiert ist halb gesichert](https://reader030.vdocuments.pub/reader030/viewer/2022020213/58a69a9c1a28abbd568b5f4b/html5/thumbnails/58.jpg)
Zurückfließen
Architekturdokulassenindie
![Page 59: Gut dokumentiert ist halb gesichert](https://reader030.vdocuments.pub/reader030/viewer/2022020213/58a69a9c1a28abbd568b5f4b/html5/thumbnails/59.jpg)
www.iteratec.de
Benjamin Pfänder Mail: [email protected] Dr. Jan Christian Krause
Mail: [email protected] Twitter: @idocit Github: github.com/jankrause