Back to Question Center
0

Drie Web Application Security Lessons in gedagte te hou. Semalt Expert weet hoe om te vermy om 'n slagoffer van cyber misdadigers te word

1 answers:

In 2015 het die Ponemon Instituut bevindings vrygestel van n Franse sagteware-ingenieur) het 'n CSRF (kruisplekversoek-vervalsing) gevind.kwesbaarheid in PayPal se nuwer site, PayPal.me. Die wêreldwye aanlynbetalingsreus het PayPal.me onthul om vinniger betalings te fasiliteer. MaarPayPal.me kan uitgebuit word - how to make graphical presentation. Florian was in staat om die CSRF-token te wysig en selfs verwyder en sodoende die gebruiker se profielfoto op te dateer. As ditwas, iemand kan iemand anders naboots deur hul foto aanlyn te kry, byvoorbeeld van Facebook.

lesse:

  • > gebruik unieke CSRF tokens vir gebruikers - dit moet uniek wees en verander wanneer die gebruiker inteken.
  • > teken per versoek - behalwe die punt hierbo, moet hierdie tekens ook beskikbaar gestel wordwanneer die gebruiker hulle versoek. Dit bied addisionele beskerming.
  • > tydsberekening - verminder die kwesbaarheid as die rekening vir 'n geruime tyd onaktief bly.

Derde saak: Die Russiese ministerie van buitelandse sake staan ​​voor 'n XSS-verleentheid

Terwyl die meeste webaanvalle bedoel is om 'n organisasie se inkomste, reputasie,en verkeer, sommige is bedoel om in verleentheid te bring. Geval in punt, die hack wat nog nooit in Rusland gebeur het nie. Dit is wat gebeur het: 'n Amerikaanse hacker(die naam van die Jester) het die kruiswerf-skripsie (XSS) se kwesbaarheid ontgin wat hy op die Russiese ministerie van buitelandse sake se webwerf gesien het. Diejester het 'n domkopwebwerf geskep wat die vooruitsigte van die amptelike webwerf naboots, behalwe vir die opskrif wat hy aangepas het om 'nbespotting van hulle.

lesse:

  • > maak die HTML-opmaak skoon
  • > voeg geen data in tensy jy dit verifieer
  • > gebruik 'n JavaScript-ontsnap voordat jy onbetroubare data in die taal se (JavaScript) datawaardes invoer
  • > beskerm jouself van DOM-gebaseerde XSS-kwesbaarhede
November 28, 2017
Drie Web Application Security Lessons in gedagte te hou. Semalt Expert weet hoe om te vermy om 'n slagoffer van cyber misdadigers te word
Reply