Back to Question Center
0

Trei lecții de securitate pentru aplicațiile Web pe care trebuie să le țineți minte. Semalt Expert știe cum să evite să devii victimă a infractorilor cibernetici

1 answers:

În 2015, Institutul Ponemon a lansat concluziile studiului "Costul criminalității cibernetice",pe care le condusese. Nu a surprins că costul criminalității cibernetice a crescut. Cu toate acestea, cifrele au fost stuttering.Cybersecurity Ventures (conglomerat global) estimează că acest cost va atinge 6 trilioane de dolari pe an. În medie, este nevoie de o organizație31 de zile pentru a reveni după o crimă cibernetică cu costul remedierii la aproximativ 639.500 de dolari.

Știați că refuzul de serviciu (atacuri DDOS), încălcări pe web și malwareinsidioții reprezintă 55% din costurile criminalității cibernetice? Acest lucru nu reprezintă doar o amenințare la adresa datelor dvs., ci și vă poate face să pierdeți venituri.

Frank Abagnale, managerul de succes al clienților companiei Semalt Serviciile digitale, oferă să ia în considerare următoarele trei cazuri de încălcări făcute în 2016.

Primul caz: Mossack-Fonseca (Documentele Panama)

Scandalul Documentelor Panama a intrat în lumina reflectoarelor în 2015, dar din cauzamilioane de documente care trebuiau să fie cernute, au fost aruncate în aer în 2016. Această scurgere a dezvăluit modul în care politicienii, oamenii de afaceri bogați,celebritățile și crema de la creme ale societății și-au păstrat banii în conturile offshore. Adesea, aceasta era umbroasă și traversa eticalinia. Deși Mossack-Fonseca era o organizație specializată în secret, strategia sa de securitate a informațiilor era aproape inexistentă.Pentru început, plug-in-ul slide slide-ului WordPress pe care l-au folosit era depășit. În al doilea rând, au folosit un Drupal vechi de 3 ani cu vulnerabilități cunoscute.Surprinzător, administratorii de sistem ai organizației nu rezolvă niciodată aceste probleme.

Lessons:

  • > asigurați întotdeauna că platformele, pluginurile și temele dvs. CMS sunt actualizate periodic..
  • > rămâneți actualizat cu cele mai recente amenințări de securitate CMS. Joomla, Drupal, WordPress și alteleserviciile au baze de date pentru acest lucru.
  • > scanați toate pluginurile înainte de a le implementa și activați

Al doilea caz: Imaginea de profil a PayPal

Florian Courtial (inginer de software francez) a găsit un CSRF (falsificare a cererii de site încrucișat)vulnerabilitate în site-ul PayPal mai nou, PayPal.me. Gigantul global de plată online a dezvăluit PayPal.me pentru a facilita plățile mai rapide. In orice caz,PayPal.me ar putea fi exploatat. Florian a reușit să editeze și chiar să elimine jetonul CSRF, actualizând imaginea de profil a utilizatorului. Așaa fost, oricine ar putea să se imortalizeze pe altcineva prin a-și face poze online, de exemplu, de la Facebook.

Lessons:

  • > folosesc token-uri CSRF unice pentru utilizatori - acestea trebuie să fie unice și să se schimbe ori de câte ori utilizatorul se conectează.
  • > pe cerere, altele decât cele de mai sus, aceste jetoane ar trebui, de asemenea, să fie puse la dispozițiecând utilizatorul solicită acest lucru. Oferă o protecție suplimentară.
  • > - reduce vulnerabilitatea în cazul în care contul rămâne inactiv de ceva timp .

Al treilea caz: Ministerul rus de Externe se confruntă cu o jena XSS

În timp ce majoritatea atacurilor web sunt menite să provoace dezastru în ceea ce privește veniturile, reputația,și de trafic, unele sunt menite să se stânjenească. În acest caz, hack-ul care nu sa întâmplat niciodată în Rusia. Asta sa întâmplat: un hacker american(poreclit Jester) a exploatat vulnerabilitatea XSS care a văzut pe site-ul web al Ministerului de Externe al Rusiei.jester a creat un site inactiv care a imitat perspectiva site-ului oficial, cu exceptia titlului, pe care a personalizat-o sa facabatjocura lor.

Lessons:

  • > dezinfectarea marcajului HTML
  • > nu introduceți date decât dacă o verificați
  • > folosiți o evadare JavaScript înainte de a introduce date nesigure în valorile de date ale limbii (JavaScript)
  • > vă protejați de vulnerabilitățile XSS bazate pe DOM
November 28, 2017
Trei lecții de securitate pentru aplicațiile Web pe care trebuie să le țineți minte. Semalt Expert știe cum să evite să devii victimă a infractorilor cibernetici
Reply