Back to Question Center
0

Три лекције за заштиту од веб апликација које треба имати у виду. Семалт Екперт упознаје како не би постао жртва Цибер криминала

1 answers:

Институт Понемон је 2015. године објавио резултате из студије "Трошкови сајбер криминала",које су спровели. Није било чудно што су се трошкови сајбер криминала повећавали. Међутим, бројке су мучиле.Циберсецурити Вентурес (глобални конгломерат) пројектује да ће тај трошак погодити 6 трилиона долара годишње. У просјеку, потребна је организација31 дана да се одбије након сајбер криминала са трошковима ремедијације на око 639.500 долара.

Да ли сте знали да је порицање услуге (ДДОС напади), кршење веба и злонамјерноинсајдери чине 55% свих трошкова сајбер криминала? Ово не представља само претњу вашим подацима, већ може и учинити да изгубите приход.

Франк Абагнале, Менаџер Суццесс Манагер Семалт Дигиталне услуге, нуди да размотри следећа три случаја кршења учињених у 2016. години.

Први случај: Моссацк-Фонсеца (Тхе Панама Паперс)

Скандал Панама Паперса пробио је у центру пажње 2015. године, али због тогамилионима докумената до којих је морао да се преиспитају, био је разнесен 2016. године. Изливање откривало како су политичари, богати привредници,познате личности и цреме де ла цреме друштва чувале су свој новац на оффсхоре рачунима. Често је то било сјајно и прешло етичколине. Иако је Моссацк-Фонсеца организација која се специјализовала за тајност, његова стратегија сигурности информација готово није постојала.За почетак, ВордПресс слајд плугин који су користили био је застарео. Друго, користили су трогодишњи Друпал са познатим слабостима.Изненађујуће, системски администратори организације никада не решавају ова питања.

Лекције:

  • > увек осигурати да се ваше ЦМС платформе, додатци и теме редовно ажурирају..
  • > остану ажурирани са најновијим претњама за безбедност ЦМС-а. Јоомла, Друпал, ВордПресс и друслуге имају базу података за ово.
  • > скенирајте све додатке пре него што их имплементирате и активирате

Други случај: Слика профила корисника ПаиПал

Флориан Цоуртиал (француски инжењер софтвера) је пронашао ЦСРФ (фалсификовање захтјева за цросс сите)рањивост на новијој локацији ПаиПал-а, ПаиПал.ме. Глобални гигант онлине плаћања открио је ПаиПал.ме како би олакшао брже плаћање. Међутим,ПаиПал.ме се може експлоатисати. Флориан је могао уредити, па чак и уклонити токен ЦСРФ, а тиме ажурира слику профила корисника. Као и тобио је, свако би могао да се посвети некоме другом тако што ће добити слику на мрежи путем Фацебоок-а.

Лекције:

  • > користе јединствене токове ЦСРФ-а за кориснике - то би требало бити јединствено и променити кад год се корисник пријављује.
  • > токен по захтеву - осим горе наведене тачке, такодје би требало да буду доступни и токеникада корисник захтева за њих. Обезбеђује додатну заштиту.
  • > тајминг - смањује угроженост ако рачун остаје неактиван неко време

Трећи случај: Министарство иностраних послова Русије се суочава са срамотом КССС-а

Док већина веб напада има за циљ уништавање прихода организације, угледа,и саобраћај, неки би требало да се срамоти. Случај у тачки, хацк који се никада није догодио у Русији. То се догодило: амерички хакер(надимак Јестер) искористио је рањивост скриптирања (КССС) коју је видео на интернет страници министарства вањских послова Русије. Тхејестер је направио лажну веб страницу која је симболизирала изглед званичне веб странице, осим наслова, који је прилагодио да направиИсмевање од њих.

Лекције:

  • > санирати ознаку ХТМЛ
  • > не убацујте податке осим ако га не потврдите
  • > користите ЈаваСцрипт бијег прије него што унесете непоуздане податке у вриједности језика (ЈаваСцрипт) језика
  • > заштитите себе од ДОМ базираних КССС рањивости
November 28, 2017
Три лекције за заштиту од веб апликација које треба имати у виду. Семалт Екперт упознаје како не би постао жртва Цибер криминала
Reply