Back to Question Center
0

Három Web Application Security Lessons Tartsa szem előtt. A Semalt szakértő tudja, hogyan ne kerüljön a számítógépes bűnözők áldozatává

1 answers:

2015-ben a Ponemon Intézet megjelentette a számítógépes bűnözés költségeiről szóló tanulmány eredményeit,amit végeztettek. Nem meglepő, hogy a számítógépes bűnözés költsége egyre nő. Azonban a számok dadogtak.A Cybersecurity Ventures (globális konglomerátum) azt tervezi, hogy ez a költség évi 6 trillió dollárt fog elérni. Átlagosan egy szervezetre van szükség31 nap a számítógépes bűnözés után, amikor a kármentesítés költsége körülbelül 639 500 dollár.

Tudta-e, hogy a szolgáltatás megtagadása (DDOS-támadások), a webalapú megsértés és a rosszindulatúa bennfentesek teszik ki az összes számítógépes bűnözés költségeinek 55% -át? Ez nem csak veszélyt jelent az Ön adataira, hanem elveszítheti bevételeit is.

Frank Abagnale, az Ügyfél siker menedzsere Semalt Digital Services, ajánlja, hogy vegye figyelembe a következő három esetet a 2016-ban történt megsértésnek.

Első eset: Mossack-Fonseca (The Panama Papers)

A "Panama Papers" botrány 2015-ben bekapcsolódott a középpontba, de atöbb millió dokumentumot kellett átszúrni, 2016-ban felrobbant. A szivárgás kiderítette, hogy a politikusok, gazdag üzletemberek,a hírességek és a társadalom creme de la creme eltárolta pénzét offshore számlákon. Gyakran ez volt az árnyak, és átkerült az etikusvonal. Bár a Mossack-Fonseca olyan titkos titkosszolgálat volt, az információbiztonsági stratégiája szinte nem létezett.Kezdetben a WordPress diavetítő pluginja korábban elavult. Másodszor, egy 3 éves Drupal-t használtak ismert sérülékenységgel.Meglepő módon a szervezet rendszergazdái nem oldják meg ezeket a problémákat.

Lessons:

  • > mindig gondoskodjon arról, hogy a CMS platformjait, bővítményeit és témáit rendszeresen frissítse..
  • > a legújabb CMS biztonsági fenyegetésekkel frissül. Joomla, Drupal, WordPress és más
  • A
  • > az összes beépülő modul beolvasása, mielőtt végrehajtaná és aktiválná őket

Második eset: PayPal felhasználói adatai

A Florian Courtial (francia szoftverfejlesztő) talált egy CSRF-et (cross site request falut)sebezhetőség a PayPal újabb webhelyén, a PayPal.me címen. A globális online fizetési óriás bemutatta a PayPal.me-et a gyorsabb kifizetések megkönnyítése érdekében. Azonban,A PayPal.me kihasználható. Florian képes volt szerkeszteni és eltávolítani a CSRF tokenet, így frissítve a felhasználó profilképét. Mivelvolt, bárki mással is megszemélyesíthetne valakit, ha például internetes képet kap a Facebookról.

Lessons:

  • > egyedülálló CSRF tokeneket használ a felhasználók számára - ezeknek egyedinek kell lenniük, és változniuk kell, amikor a felhasználó bejelentkezik.
  • > token kérésre - a fenti ponttól eltérően - ezeket a tokeneket is rendelkezésre kell bocsátaniamikor a felhasználó kéri őket. További védelmet biztosít.
  • > időzítés - csökkenti a sérülékenységet, ha a számla bizonyos ideig inaktív marad.

Harmadik eset: Az orosz külügyminisztérium szembesül egy XSS zavargással

Bár a legtöbb internetes támadás célja egy szervezet bevételének, hírnevének,és a forgalmat, egyesek célja, hogy zavarba. A lényeg az, hogy Oroszországban soha nem történt meg. Ez történt: egy amerikai hacker(becenevén a Jester) kihasználta a cross site scripting (XSS) sérülékenységét, amelyet az orosz külügyminisztérium honlapján látott. AJester létrehozott egy webes weboldalt, amely utánozza a hivatalos weboldal kilátásait, kivéve a címsort, amelyet személyre szabottgúnyolódásuk.

Lessons:

  • > tisztítsa meg a HTML jelölést
  • > ne helyezze be az adatokat, hacsak nem igazolja
  • > használjon JavaScript menekülési módot, mielőtt megbízhatatlan adatokat adna a nyelv (JavaScript) adatértékeiben
  • > megvédi magát a DOM alapú XSS sebezhetőségektől
November 28, 2017
Három Web Application Security Lessons Tartsa szem előtt. A Semalt szakértő tudja, hogyan ne kerüljön a számítógépes bűnözők áldozatává
Reply