Back to Question Center
0

Trije varnostni nasveti za spletno aplikacijo, ki jih hranimo v mislih. Semalt Expert pozna, kako se izogniti žrtvi Cyber ​​kriminalcev

1 answers:

Inomeinški institut Ponemon je leta 2015 objavil ugotovitve iz študije "Stroški kriminalitete v internetu",ki so jih izvedli. Ni bilo presenečenje, da se stroški kibernetskega kriminala povečujejo. Številke pa so se pojavljale zajebavajoče.Podjetja Cybersecurity Ventures (globalni konglomerat) načrtujejo, da bodo ti stroški dosegli $ 6 trilijonov na leto. V povprečju potrebuje organizacijo31 dni, da se vrnete po cyber kriminalu s stroški sanacije na približno 639 500 $.

Ali ste vedeli, da je zavrnitev storitve (napadi DDOS), spletno kršenje in zlonamernosodelujoči predstavljajo 55% vseh stroškov kibernetskega kriminala? To ne ogroža le vaših podatkov, ampak lahko tudi izgubi prihodke.

Frank Abagnale, direktor za uspeh stranke Semalt Digitalne storitve, ponuja možnost upoštevati naslednje tri primere kršitev, ki so bile opravljene leta 2016.

Prvi primer: Mossack-Fonseca (The Panama Papers)

Škandal Panama Papers je leta 2015 prešel v središče pozornosti, toda zaradina milijone dokumentov, ki jih je bilo treba preseči, je bilo razgrnjenih leta 2016. Uhajanje je razkrilo, kako politiki, bogati poslovneži,znane osebnosti in kreme de la creme družbe so prihranili svoj denar na računu na morju. To je bilo pogosto senčeno in prešlo etičnoline. Čeprav je bila Mossack-Fonseca organizacija, specializirana za tajnost, strategija varovanja informacij skorajda ni obstajala.Za začetek je bil uporabljeni slinovni vtičnik WordPress, ki so ga uporabljali, zastarel. Drugič, uporabili so 3-letni Drupal z znano ranljivostjo.Presenetljivo je, da sistemski skrbniki organizacije nikoli ne rešujejo teh težav.

Izkušnje:

  • > vedno zagotovite, da se vaše platforme, vtičniki in teme CMS redno posodabljajo..
  • > ostanejo posodobljeni z najnovejšimi varnostnimi grožnjami CMS. Joomla, Drupal, WordPress in drugostoritve imajo bazo podatkov za to.
  • > preglejte vse vtičnice, preden jih implementirate in jih aktivirate

Drugi primer: fotografija osebe PayPal

Florian Courtial (francoski programski inženir) je našel CSRF (ponarejanje na zahtevo križarke)ranljivost na novem spletnem mestu PayPal, PayPal.me. Svetovni spletni plačilni gigant je predstavil PayPal.me, da bi olajšal hitrejša plačila. Vendar,PayPal.me bi lahko izkoristili. Florian je lahko urejal in celo odstranil žeton CSRF, s čimer je posodobil sliko profila uporabnika. Kot jeje bil, da bi se kdo drug lahko predstavljal kot nekdo drug tako, da bi na spletu povedal svojo sliko na primer iz Facebooka.

Izkušnje:

  • > uporabiti unikatne CSRF žetone za uporabnike - to bi moralo biti edinstveno in se bo spremenilo, ko se bo uporabnik prijavil.
  • > na zahtevo - razen zgornje točke, morajo biti tudi ti žetoni na voljoko uporabnik zahteva zanje. Zagotavlja dodatno zaščito.
  • > časovno omejeno - zmanjša ranljivost, če račun še ne deluje več

Tretji primer: Rusko ministrstvo za zunanje zadeve se sooča s sramotnostjo XSS

Večina spletnih napadov naj bi povzročila škodo do prihodkov organizacije, ugleda,in prometa, nekateri naj bi sramotili. Primer v točki, hack, ki se nikoli ni zgodilo v Rusiji. To se je zgodilo: ameriški heker(vzdevek Jester) je izkoristil ranljivost na križišču (XSS), ki jo je videl na spletni strani ministrstva za zunanje zadeve Rusije. Thejester je ustvaril lažno spletno stran, ki je obogatila izgled uradne spletne strani, razen naslova, ki ga je prilagodil, da biposmehovanje od njih.

Izkušnje:

  • > razkužiti oznako HTML
  • > ne vstavljajte podatkov, razen če jih preverite
  • >, preden vnesete nezaupne podatke v vrednosti jezika (JavaScript)
  • > se ščitite pred ranljivostmi XSS na osnovi DOM
November 28, 2017
Trije varnostni nasveti za spletno aplikacijo, ki jih hranimo v mislih. Semalt Expert pozna, kako se izogniti žrtvi Cyber ​​kriminalcev
Reply