Back to Question Center
0

Три уроки захисту веб-додатків, які слід мати на увазі. Semalt Експерт знає, як уникнути жертви кіберзлочинців

1 answers:

У 2015 році Інститут Ponemon випустив висновки з дослідження "Вартість кіберзлочинності",які вони провели. Не дивно, що вартість кіберзлочинності зростає. Однак фігури заїкалися.Проекти з кібербезпеки (глобальний конгломерат) передбачають, що ці витрати складуть 6 трильйонів доларів на рік. У середньому це займає організацію31 день, щоб відскочити після кібер-злочину з вартістю відновлення близько $ 639 500.

Чи знали ви, що відмовляють в обслуговуванні (атаки DDOS), веб-проникли і шкідливіІнсайдери становлять 55% усіх витрат на кіберзлочинність? Це не тільки створює загрозу для ваших даних, але також може призвести до втрати прибутку.

Френк Абагнале, менеджер з успіху клієнтів Semalt Digital Services пропонує розглянути наступні три випадки порушення, зроблені в 2016 році.

Перша справа: Моссак-Фонсека (панамські папери)

Скандал в Панамі відбувся у 2015 році, але через цемільйони документів, які потрібно було просіяти, було випущено в 2016 році. В результаті витоків з'ясувалося, як політики, заможні бізнесмени,знаменитості та крем де ла Creme суспільства зберігали свої гроші на офшорних рахунках. Часто це було тіньовим і перейшло етичнелінія Хоча Mossack-Fonseca була організацією, яка спеціалізувалася на секретності, її стратегія інформаційної безпеки майже не існувала.Для початку плагін для слайд-шоу WordPress, який вони використовували, був застарілим. По-друге, вони використовували 3-річний Drupal з відомими вразливостями.Дивно, але системні адміністратори організації ніколи не вирішують цих проблем.

Уроки:

  • > завжди гарантуйте, що ваші платформи CMS, плагіни та теми регулярно оновлюються..
  • > оновлюються з останніми загрозами безпеки CMS. Joomla, Drupal, WordPress та інпослуги мають баз даних для цього.
  • > сканує всі плагіни, перш ніж реалізувати та активувати їх

Другий випадок: зображення профілю PayPal

Флоріан Courtial (французький програмний інженер) виявив CSRF (cross certificate request forgery)Вразливість на новому сайті PayPal, PayPal.me. Глобальний гігант онлайн-платежів відкрив PayPal.me для полегшення швидких платежів. ОднакPayPal.me можна використовувати. Флоріан зміг відредагувати і навіть видалити токен CSRF, тим самим оновлюючи зображення профілю користувача. Як цебуло, кожен може видати себе за когось іншого, отримавши свою фотографію в Інтернеті, наприклад, з Facebook.

Уроки:

  • > використовують унікальні токени CSRF для користувачів - вони повинні бути унікальними і змінюватися кожного разу, коли користувач входить до системи.
  • > токен на запит - крім зазначеного вище, ці токени також повинні бути доступнимиколи користувач запитує їх. Це забезпечує додатковий захист.
  • > - зменшення вразливості, якщо обліковий запис деякий час залишається неактивним

Третій випадок: Міністерство закордонних справ Росії стикається з незручностями XSS

Хоча більшість веб-атак мають наслідком руйнування доходів, репутації організації,і трафік, деякі мають на меті збентежити. Справа в тому, це руйнування, яке ніколи не було в Росії. Це сталося: американський хакер(прізвисько "Jester") експлуатувала вразливість сетевого сценарію (XSS), яку він бачив на веб-сайті міністерства закордонних справ Росії. Theшутер створив макет веб-сайту, який імітував вигляд офіційного веб-сайту, за винятком заголовка, який він налаштовано зробитизнущання з них.

Уроки:

  • > санімізувати розмітку HTML
  • > не вставляти дані, якщо ви не підтвердите його
  • > використовують JavaScript для виходу перед введенням ненадійних даних у значеннях
  • даних мови (JavaScript)
  • > захистити себе від вразливостей XSS на базі DOM
November 28, 2017
Три уроки захисту веб-додатків, які слід мати на увазі. Semalt Експерт знає, як уникнути жертви кіберзлочинців
Reply