Back to Question Center
0

Tři lekce zabezpečení webových aplikací, které je třeba mít na paměti. Semalt Expert ví, jak se vyhnout tomu, aby se stali obětí počítačových zločinců

1 answers:

V roce 2015 zveřejnil Institut Ponemon zjištění ze studie "Náklady na kybernetickou kriminalitu"které vedli. Není překvapením, že náklady na kybernetickou kriminalitu rostou. Nicméně, čísla byly stuttering.Společnost Cybersecurity Ventures (globální konglomerát) odhaduje, že tato cena dosáhne 6 bilionů dolarů ročně. V průměru trvá organizace31 dní odrazit se po kyberní kriminalitě s náklady na sanaci na zhruba 639 500 dolarů.

Věděli jste, že odmítnutí služby (útoky DDOS), porušení na webu a škodlivézasvěcenci tvoří 55% všech nákladů na počítačovou kriminalitu? To nejen ohrožuje vaše data, ale také může způsobit ztrátu příjmů.

Frank Abagnale, manažer úspěchu zákazníků společnosti Semalt Digitální služby, nabízí, aby zvážily následující tři případy porušení provedené v roce 2016.

První případ: Mossack-Fonseca (The Panama Papers)

Skandál Panamy Papers se dostal do pozornosti v roce 2015, ale díkymiliony dokumentů, které musely být prošpiněny, byly vyhozeny v roce 2016. Únik odhalil, jak politici, bohatí podnikatelé,celebrity a creme de la creme společnosti uložily své peníze na offshore účty. Často se to stalo temným a překročilo etické podmínkyčára. Ačkoli Mossack-Fonseca byla organizace, která se specializovala na utajení, její strategie informační bezpečnosti téměř neexistovala.Na začátek byl plugin pluginů WordPress, který používali, zastaralý. Za druhé použili trojroční Drupal se známými zranitelnostmi.Překvapivě, správci systému organizace nikdy nevyřeší tyto problémy.

Lekce:

  • > vždy zajišťují, že vaše platformy CMS, pluginy a témata jsou pravidelně aktualizovány..
  • > zůstanou aktualizovány s nejnovějšími bezpečnostními hrozbami CMS. Joomla, Drupal, WordPress a další
  • .
  • > skenujte všechny pluginy před jejich implementací a aktivací

Druhý případ: Profil profilu PayPalu

Florian Courtial (francouzský softwarový inženýr) zjistil, že CSRFzranitelnost v novějších stránkách PayPal, PayPal.me. Globální on-line platební gigant odhalil PayPal.me, který usnadnil rychlejší platby. Nicméně,PayPal.me by mohl být zneužit. Florian byl schopen upravit a dokonce odstranit token CSRF, a tím aktualizovat profilový obrázek uživatele. Jako takovýbylo, že někdo může předstírat, že někdo jiný tím, že se jejich obrázek on-line říká například z Facebooku.

Lekce:

  • > využívají pro uživatele jedinečné žetony CSRF - ty by měly být jedinečné a měly by se měnit při každém přihlášení uživatele.
  • > žeton na vyžádání - kromě výše uvedeného bodu, tyto žetony by měly být také k dispozicikdy uživatel o ně požádá. Poskytuje další ochranu.
  • > vypršení časového limitu - snižuje zranitelnost, pokud účet zůstává po určitou dobu neaktivní .

Třetí případ: ruské ministerstvo zahraničí čelí rozrušení XSS

Zatímco většina webových útoků má způsobit spoustu příjmů organizace, pověst,a provoz, někteří se chtějí dostat do rozpaků. Případem, hackem, který se v Rusku nikdy nestal. To se stalo: americký hacker(přezdívaný Jester) využil zranitelnost skriptování mezi stránkami (XSS), kterou viděl na webových stránkách ministerstva zahraničních věcí Ruska. Thejester vytvořil fiktivní webové stránky, které napodobovaly výhled na oficiální webové stránky s výjimkou nadpisu, který přizpůsobil, aby vytvořilvýsměch z nich.

Lekce:

  • > dezinfikovat značku HTML
  • > nevkládejte data, dokud je neověříte
  • > použijte JavaScriptový únik před zadáním nedůvěryhodných dat do hodnot dat jazyka (JavaScript)
  • > chráníte před zranitelností XSS založeným na protokolu DOM
November 28, 2017
Tři lekce zabezpečení webových aplikací, které je třeba mít na paměti. Semalt Expert ví, jak se vyhnout tomu, aby se stali obětí počítačových zločinců
Reply