Back to Question Center
0

Три веб-апликации за безбедност на часови да се има предвид. Семалт Експерт знае како да избегне да стане жртва на сајбер криминалци

1 answers:

Во 2015 година, Институтот Понемон објави наоди од студијата "Трошоци за компјутерски криминал",кои тие ги спровеле. Не беше изненадување што трошоците за сајбер криминалот се зголемуваа. Сепак, бројките беа пелтечење.Сајбер-сигурност партнерства (глобален конгломерат) проектира дека оваа цена ќе достигне 6 трилиони долари годишно. Во просек, потребно е организација31 дена да отскокнување назад по компјутерски криминал со трошоците за санација на околу 639 500 американски долари.

Дали знаете дека одбивањето на услугата (DDOS напади), веб-базирани прекршувања и злонамерниинсајдерите сочинуваат 55% од сите трошоци за компјутерски криминал? Ова не само што претставува закана за вашите податоци, но исто така може да ве натера да изгубите приходи.

Френк Abagnale, менаџер за успех на клиентите на Семалт Дигитални услуги, нуди да ги разгледаме следните три случаи на прекршоци направени во 2016 година.

Прв случај: Мосак-Фонсека (Панамските трудови)

Скандалот на Панамските трудови провалил во центарот на вниманието во 2015 година, но порадимилиони документи кои мораше да се пребаруваат, тоа беше разнесено во 2016 година. Истекувањето откри како политичарите, богатите бизнисмени,познати личности и creme de la creme на општеството ги зачувале своите пари во оф-шор сметки. Често, ова беше сино и преминало на етичкотолинија. Иако Мосак-Фонсека беше организација специјализирана за тајност, нејзината стратегија за информациска сигурност беше речиси непостоечка.За почеток, додатокот за слајд слики на WordPress што го користеа беше застарен. Второ, тие користеа 3-годишен Друпал со познати слабости.Изненадувачки, системските администратори на организацијата никогаш не ги разрешуваат овие проблеми.

Лекции:

  • > секогаш осигурајте се дека вашите CMS платформи, приклучоци и теми редовно се ажурираат..
  • > останат ажурирани со најновите безбедносни закани CMS. Јоомла, Друпал, WordPress и другиуслугите имаат бази на податоци за ова.
  • > ги скенира сите додатоци пред да ги имплементирате и активирате

Втор случај: профилна слика на PayPal

Florian Courtial (француски софтверски инженер) пронајде CSRF (фалсификување на барање на фалсификат)ранливоста во понова страница на PayPal, PayPal.me. Глобалниот онлајн гигант за плаќање го претстави PayPal.me за олеснување на побрзо плаќање. Сепак,PayPal.me може да се искористи. Флоријан успеа да го уреди, па дури и отстрани токенот CSRF со што ја ажурира сликата на профилот на корисникот. Како што е тоабеше, секој може да се претстави како некој друг преку фотографирање на интернет, на пример, од Фејсбук.

Лекции:

  • > користат уникатни CSRF токени за корисници - тие треба да бидат единствени и да се менуваат секогаш кога ќе се најавите на корисникот.
  • > токен по барање - освен точката погоре, овие белези треба исто така да бидат достапникога корисникот бара за нив. Таа обезбедува дополнителна заштита.
  • > тајмингот - ја намалува ранливоста ако сметката останува неактивна за некое време.

Трет случај: Руското Министерство за надворешни работи се соочува со срам од XSS

Додека повеќето веб напади се наменети да предизвикаат хаос на приходите на организацијата, угледот,и сообраќајот, некои се наменети да се посрамат. Случај во точка, на хак што никогаш не се случи во Русија. Тоа се случи: американски хакер(наречен "Џестер") ја искористи ранливоста на крстот-скриптирање (XSS) што ја виде на веб-страницата на Министерството за надворешни работи на Русија. Наџстер создаде кукла веб-сајт кој имитира изгледот на официјалната веб-страница, освен за насловот, кој тој се прилагоди да се направиисмејување од нив.

Лекции:

  • > дезинфицирање HTML markup
  • > не вметнувајте податоци освен ако не го потврдите
  • > користете JavaScript избега пред да внесете недоверливи податоци во вредностите на јазикот (JavaScript) на јазикот
  • > се заштити од DOM базирани XSS пропусти
November 28, 2017
Три веб-апликации за безбедност на часови да се има предвид. Семалт Експерт знае како да избегне да стане жртва на сајбер криминалци
Reply