Back to Question Center
0

Trzy lekcje bezpieczeństwa aplikacji internetowych, o których warto pamiętać. Semalt Expert wie, jak uniknąć stania się ofiarą cyberprzestępców

1 answers:

W 2015 r. Instytut Ponemon opublikował wyniki badania "Koszt cyberprzestępczości",które przeprowadzili. Nic dziwnego, że koszty cyberprzestępczości rosły - site de hospedagem de site. Jednak postacie jąkały się.Projekty cyberbezpieczeństwa (globalny konglomerat) przewidują, że ten koszt wyniesie 6 trylionów dolarów rocznie. Średnio wymaga organizacji31 dni na powrót po cyber przestępczości kosztem remediacji około 639 500 $.

Czy wiesz, że odmowa usługi (ataki DDOS), naruszenia stron internetowych i złośliweinsiders stanowią 55% wszystkich kosztów cyberprzestępczości? Stanowi to nie tylko zagrożenie dla danych, ale może również spowodować utratę przychodów.

Frank Abagnale, menedżer ds. Sukcesu klienta w firmie Semalt Usługi cyfrowe, oferuje rozważenie następujących trzech przypadków naruszeń dokonanych w 2016 r.

Pierwszy przypadek: Mossack-Fonseca (The Panama Papers)

Afera Panama Papers włamała się na światło reflektorów w 2015 r., Ale z powodumiliony dokumentów, które trzeba było przesiać, wybuchło w 2016 r. Wyciek ujawnił, jak politycy, zamożni biznesmeni,celebryci i creme de la creme of society przechowywali swoje pieniądze na zagranicznych rachunkach. Często było to mroczne i przekraczało etycznelinia. Chociaż Mossack-Fonseca był organizacją specjalizującą się w tajemnicy, jej strategia bezpieczeństwa informacji prawie nie istniała.Po pierwsze, zastosowana wtyczka do przesuwania obrazu WordPressa była nieaktualna. Po drugie, użyli 3-letniego Drupala ze znanymi słabościami.Co zaskakujące, administratorzy systemu organizacji nigdy nie rozwiązują tych problemów.

Zajęcia:

  • > zawsze zapewnia regularne aktualizowanie platform, wtyczek i motywów CMS..
  • > bądź na bieżąco z najnowszymi zagrożeniami bezpieczeństwa CMS. Joomla, Drupal, WordPress i inneusługi mają do tego bazy danych.
  • > zeskanuj wszystkie wtyczki przed ich zaimplementowaniem i aktywowaniem

Drugi przypadek: zdjęcie profilowe PayPal

Florian Courtial (francuski inżynier oprogramowania) znalazł CSRF (fałszywe zapytanie o witrynę)luka w nowszej witrynie PayPal, PayPal.me. Globalny gigant płatności online zaprezentował serwis PayPal.me, aby ułatwić szybsze płatności. Jednak,PayPal.me może zostać wykorzystany. Florian był w stanie edytować, a nawet usunąć token CSRF, aktualizując w ten sposób obraz profilowy użytkownika. Jak tokażdy mógł podszyć się za kogoś innego, robiąc zdjęcie online, na przykład z Facebooka.

Zajęcia:

  • > skorzystaj z unikalnych tokenów CSRF dla użytkowników - powinny one być unikalne i zmieniać się, ilekroć użytkownik się loguje.
  • > token na żądanie - inne niż powyższy punkt, tokeny powinny również zostać udostępnionekiedy użytkownik ich zażąda. Zapewnia dodatkową ochronę
  • > limit czasu - zmniejsza lukę, jeśli konto pozostaje nieaktywne przez pewien czas.

Trzeci przypadek: rosyjskie ministerstwo spraw zagranicznych napotyka na wstyd XSS

Podczas gdy większość ataków internetowych ma na celu spustoszenie dochodów organizacji, jej reputacji,i ruchu, niektóre mają zawstydzić. Przykład, włamanie, które nigdy nie miało miejsca w Rosji. Oto, co się stało: amerykański haker(przydomek Jester) wykorzystał lukę XSS (Cross Site Scripting), którą zobaczył na stronie Ministerstwa Spraw Zagranicznych Rosji. TheJester stworzył fałszywą stronę, która naśladowała wygląd oficjalnej strony internetowej, z wyjątkiem nagłówka, który dostosował dokpiny z nich.

Zajęcia:

  • > sanitize znaczników HTML
  • > nie wstawiaj danych, chyba że je zweryfikujesz
  • > użyj kodu ucieczki JavaScript przed wprowadzeniem niezaufanych danych w wartościach danych języka (JavaScript)
  • > osłoń się przed lukami XSS opartymi na DOM
November 23, 2017