Back to Question Center
0

Kolme web-sovellusten tietoturvan opetusta pitää mielessä. Semalt-asiantuntija tuntee, kuinka välttää ryhtymästä tietokonevirkamiesten uhreiksi

1 answers:

Vuonna 2015 Ponemon-instituutti julkaisi havaintoja "tietoverkkorikollisuuden kustannuksista",jotka he olivat harjoittaneet. Ei ollut mikään yllätys, että tietoverkkorikollisuuden kustannukset kasvoivat. Kuitenkin luvut olivat pätkivä.Cybersecurity Ventures (globaali konglomeraatti) projekteissa, että tämä kustannus osuu 6 biljoonaa dollaria vuodessa. Keskimäärin se vie organisaation31 päivää bounce takaisin jälkeen tietoverkkorikollisuuden kanssa kustannukset kunnostamiseen on noin 639 500 dollaria.

Tiesitkö, että palvelunestohyökkäykset (DDOS-hyökkäykset), web-pohjaiset rikkomukset ja haittaohjelmatsisäpiiriläiset muodostavat 55 prosenttia kaikista tietoverkkorikollisuuden kustannuksista? Tämä ei ainoastaan ​​uhkaa tietojasi, vaan voi myös menettää tulot.

Frank Abagnale, asiakkaiden menestyspäällikkö Semalt Digitaaliset palvelut, tarjoaa harkita seuraavia kolme tapausta vuonna 2016 tehdyistä rikkomuksista.

Ensimmäinen asia: Mossack-Fonseca (Panama Papers)

Panama Papers - skandaali puhkesi parrasvaloihin vuonna 2015, mutta sen vuoksimiljoonia asiakirjoja, jotka oli täytettävä läpi, se puhalsi vuonna 2016. Vuoto paljasti, kuinka poliitikot, varakkaat liikemiehet,julkkikset ja yhteiskunnan creme de la creme säilyttivät rahansa offshore-tileillä. Usein tämä oli varjoisa ja ylitti eettisetlinja. Vaikka Mossack-Fonseca oli salaisuuksiin erikoistunut organisaatio, tietoturvastrategia oli lähes olematon.Aloituksena käytettiin WordPress-kuvaesitystyökalua, joka oli vanhentunut. Toiseksi he käyttivät 3-vuotiaan Drupalin tunnetuilla haavoittuvuuksilla.Yllättäen organisaation järjestelmänvalvojat eivät koskaan ratkaise näitä asioita.

Lessons:

  • > Varmista aina, että CMS-alustasi, laajennuksia ja teemoja päivitetään säännöllisesti..
  • > pysyvät ajan tasalla uusimmilla CMS-turvallisuusuhilla. Joomla, Drupal, WordPress ja muutPalveluilla on tietokannat.
  • > > skannaa kaikki laajennukset ennen niiden käyttöönottoa ja aktivointia

Toinen tapaus: PayPalin profiilikuva

Florian Courtial (ranskalainen ohjelmistosuunnittelija) löysi CSRF: n (cross site request forgery)heikkous PayPalin uudemmalla sivustolla, PayPal.me. Globaali verkkomaksu jättiläinen paljasti PayPal.me helpottaakseen maksujen nopeuttamista. Kuitenkin,PayPal.me voitaisiin hyödyntää. Florian pystyi muokkaamaan ja jopa poistanut CSRF-tunnuksen päivittämällä käyttäjän profiilikuvan. Kuten seoli, kuka tahansa voisi lauluta jonkun toisen saamalla kuvan verkossa sanomasta esimerkiksi Facebookista.

Lessons:

  • > käyttävät ainutlaatuisia CSRF-rahakkeita käyttäjille - niiden on oltava ainutlaatuisia ja muuttuvat aina, kun käyttäjä kirjautuu sisään.
  • > merkkiä pyynnöstä - muut kuin yllä oleva piste, nämä rahakkeet olisi myös asetettava saatavillekun käyttäjä pyytää heitä. Se tarjoaa lisäsuojaa.
  • > ajoitus - vähentää haavoittuvuutta, jos tili ei ole vielä käytössä jonkin aikaa.

Kolmas tapaus: Venäjän ulkoasiainministeriö joutuu kohtaamaan XSS-kiusanteko

Vaikka useimmat verkkohyökkäykset tarkoittavat tuhoa organisaation tuloihin, maineeseen,ja liikenteen, joidenkin on tarkoitus noloa. Tapa, joka ei koskaan tapahtunut Venäjällä. Näin tapahtui: amerikkalainen hakkeri(lempinimellä Jester) hyödynsi ristisivustojen komentotiedon (XSS) haavoittuvuutta, jota hän näki Venäjän ulkoasiainministeriön verkkosivustolla.jester loi verkkosivuston, joka jäljitteli virallisen verkkosivuston näkymiä lukuun ottamatta otsikkoa, jonka hän räätälöi tekemäänpilkkaa heitä.

Lessons:

  • > puhdistaa HTML-merkintä
  • >, älä lisää tietoja, ellet todenna sitä
  • > käytä JavaScript-pakoa, ennen kuin syötät epäluotettavia tietoja kielen (JavaScript) datan arvoihin
  • > suojaavat itsesi DOM-pohjaisista XSS-heikkouksista
November 28, 2017
Kolme web-sovellusten tietoturvan opetusta pitää mielessä. Semalt-asiantuntija tuntee, kuinka välttää ryhtymästä tietokonevirkamiesten uhreiksi
Reply