Back to Question Center
0

Тры вэб-прыкладанняў Урокі бяспекі мець на ўвазе. Semalt Expert ведае, як не стаць ахвярай кіберзлачынцаў

1 answers:

У 2015 годзе Ponemon інстытут апублікаваў вынікі з даследавання «Кошт кіберзлачыннасці»,якую яны правялі. Гэта не стала нечаканасцю, што павялічвала кошт кіберзлачынстваў. Тым не менш, гэтыя лічбы былі заікання.Кібербяспека Ventures (глабальны кангламерат) прагназуе, што гэты кошт будзе дасягнуты $ 6 трыльёнаў долараў у год. У сярэднім, гэта займае арганізацыя31 дзён, каб акрыяць пасля кіберзлачыннасці з коштам аднаўлення складае каля $ 639 500.

Ці ведаеце вы, што адмова ў абслугоўванні (DDOS атакі), вэб-аснове парушэнняў і зламысныяінсайдэры складаюць 55% усіх выдаткаў кібернетычных злачынстваў? Гэта не толькі стварае пагрозу для вашых дадзеных, але таксама можа прымусіць вас страціць прыбытак.

Франк Абагнал Кліент Поспех менеджэр Semalt Лічбавыя паслугі, прапануе разгледзець наступныя тры выпадкі парушэнняў, зробленыя ў 2016 годзе.

Першы выпадак: Mossack-Фонсека (Панамскі матэрыялы)

Скандал Панама Papers ўварваліся ў цэнтр увагі ў 2015 годзе, але з-замільёны дакументаў, якія павінны былі быць прасейваюць праз, ён быў узарваны ў 2016 годзе Уцечка паказала, як палітыкі, багатыя бізнэсоўцы,знакамітасці і вяршкі грамадства захоўваць свае грошы ў афшорных рахунках. Часта гэта ценявая і перасёк этычныялінія. Хоць Mossack-Фонсека была арганізацыя, якая спецыялізуецца ў таямніцы, яе стратэгія ў галіне інфармацыйнай бяспекі, амаль не існуе.Для пачатку, WordPress слайд-убудова яны выкарыстоўвалі састарэлае. Па-другое, яны выкарыстоўвалі 3-гадовы Drupal з вядомымі ўразлівасцямі.Дзіўна, але сістэмныя адміністратары ў арганізацыі ніколі не вырашыць гэтыя праблемы.

Урокі:

  • > заўсёды пераканайцеся, што вашыя CMS платформы, убудовы і тэмы рэгулярна абнаўляюцца..
  • > заставацца ў курсе апошніх пагроз бяспекі CMS. Joomla, Drupal, WordPress і іншыяпаслугі маюць базы дадзеных для гэтага.
  • > сканаваць ўсе модулі, перш чым ўкараняць і актываваць іх

Другі выпадак: PayPal малюнак профілю

Фларыян Кортиал (французскі інжынер-праграміст) знайшоў CSRF (Cross Site Request падробку)ўразлівасць у новым сайце сістэмы PayPal, PayPal.me. Глабальны онлайн-плацяжоў гігант прадставіў PayPal.me для палягчэння хутчэй плацяжоў. Тым не менш,PayPal.me можа быць выкарыстаны. Фларыян быў у стане адрэдагаваць і нават выдалілі CSRF маркер, тым самым абнаўляючы карыстальніка фатаграфію. як гэтабыў, хтосьці можа выдаваць сябе за кагосьці іншага, атрымліваючы іх карціну онлайн скажам, напрыклад, ад Facebook.

Урокі:

  • > дапамагло унікальным CSRF токены для карыстальнікаў - яны павінны быць унікальнымі і змены кожны раз, калі карыстальнік уваходзіць у сістэму
  • .
  • > маркер для кожнага запыту - акрамя названых вышэй кропак, гэтыя маркеры таксама павінны быць даступныякалі карыстальнік запытвае для іх. Гэта забяспечвае дадатковую абарону.
  • > тайм-аўт - памяншае ўразлівасць, калі кошт застаецца неактыўным на працягу некаторага часу
  • .

Трэці выпадак: МЗС Расіі сутыкаецца з XSS Сарамлівасць

У той час як большасць вэб-нападаў закліканы нанесці шкоду для арганізацыі даходаў, рэпутацыі,і трафік, некаторыя з іх прызначаны для бянтэжыць. Справа ў пункце, хак, што ніколі не было ў Расеі. Гэта тое, што здарылася: амерыканскі хакер(Па мянушцы Jester) выкарыстаў межсайтовый скріптінга (XSS) ўразлівасць, якую ён бачыў на вэб-сайце міністэрства замежных спраў Расіі.шут стварыў фіктыўны сайт, які імітаваў знешні выгляд афіцыйнага сайта для загалоўка, за выключэннем, што ён наладжаны зрабіцьздзек над імі.

Урокі:

  • > дэзінфікаваць HTML-разметку
  • > не ўставіць дадзеныя, калі вы не пацвердзіце яго
  • > выкарыстоўваць ўцёкі JavaScript, перш чым уводзіць ненадзейныя дадзеныя ў каштоўнасці мовы (JavaScript) дадзеных
  • > засцерагчы сябе ад уразлівасцяў XSS на аснове DOM
November 28, 2017
Тры вэб-прыкладанняў Урокі бяспекі мець на ўвазе. Semalt Expert ведае, як не стаць ахвярай кіберзлачынцаў
Reply