Strumento Microsoft Threat Modeling: come evitare lo spoofing di Data Store di destinazione

2

Ho un modello di minaccia con un'entità di Cloud Storage e un'applicazione gestita che vi accede. Ecco il diagramma:

LoStrumentoperlamodellazionediminacceMicrosoftriportanelrapportoche:

CloudStoragemaybespoofedbyanattackerandthismayleadtodatabeingwrittentotheattacker'stargetinsteadofCloudStorage.Considerusingastandardauthenticationmechanismtoidentifythedestinationdatastore.

Perchéècosì?InunaconnessioneHTTPSladestinazioneèsempreautenticata(vediproprietàdell'elemento)Qualeimpostazionedovreimodificarepersbarazzarmidiquestaminaccia?

EDIT:quicisonotutteleproprietàdeidueelementi:

    
posta Gabor Herman 23.03.2017 - 15:22
fonte

0 risposte

Leggi altre domande sui tag