Dr. Karsten Sohr > | ">English |
|||||
ASKS |
||||||
Ziel des
Projektes ASKS (Architektur-basierte Sicherheitsanalyse geschäftskritischer
Software-Systeme) ist die Sicherheitsanalyse geschäftskritischer Anwendungen
(wie z.B. JEE- und .NET- Anwendungen). Die Software soll hierbei auf Basis der
Software- Architektur analysiert werden. Dies ermöglicht eine Fokussierung der Analysen auf
sicherheitskritische Daten und Module. Typische
Sicherheitsprobleme, die mit diesem architektur-basierten Ansatz aufgedeckt
werden können, sind: 1.
Fehlerhafte
Rollenmodelle von JEE-Anwendungen, 2.
Fehlende Durchsetzung
der Zugriffskontrolle und Umgehung von APIs, 3.
Sicherheitslücken
durch fehlerhafte Vertrauensbeziehungen zwischen Software-Komponenten, 4.
Fehlender
kryptographischer Schutz von Daten und Kommunikationskanälen, 5.
Verletzung der Grenzen
von Vertrauensbereichen (compartments). Die
Sicherheitsanalysen werden mit Hilfe des Bauhaus-Werkezuges,
eines Werkzeugkastens für das Reverse Engineering und Programmverstehen,
umgesetzt. Insbesondere soll die Reflexionsanalyse eingesetzt werden, um
Sicherheitsverletzungen wie z.B. die oben genannte Umgehung von APIs im
Quelltext aufzudecken.
Laufzeit: 01.07.2010 - 30.06.2012 Weitere Informationen: kommt noch
|
||||||
Autor: |
||||||
|