Back to Question Center
0

Drie Web Application Security Lessons in gedagte te hou. Semalt Expert weet hoe om te vermy om 'n slagoffer van cyber misdadigers te word

1 answers:

In 2015 het die Ponemon Instituut bevindings vrygestel van 'n studie "Cost of Cyber ​​Crime",wat hulle gedoen het. Dit was geen verrassing dat die koste van kubermisdaad aan die toeneem was nie. Die syfers was egter stotterend.Cybersecurity Ventures (globale konglomeraat) projekte dat hierdie koste $ 6 triljoen per jaar sal tref. Dit neem gemiddeld 'n organisasie31 dae om na 'n kuber misdaad te weier met die koste van remediëring teen sowat $ 639 500.

Het jy geweet dat ontkenning van diens (DDOS aanvalle), webgebaseerde oortredings en kwaadwilligeinsiders maak 55% van alle kriminele misdaadkoste uit? Dit is nie net 'n bedreiging vir u data nie, maar kan u ook inkomste laat verloor.

Frank Abagnale, die kliënt Suksesbestuurder van Semalt Digital Services, bied aan om die volgende drie gevalle van oortredings in 2016 te oorweeg.

Eerste saak: Mossack-Fonseca (The Panama Papers)

Die skandaal van Panama-dokumente het in 2015 in die kollig gebreek, maar as gevolg van diemiljoene dokumente wat gesif moes word, is in 2016 geblaas. Die lek het aan die lig gebring hoe politici, ryk sakemanne,bekendes en die creme de la creme van die samelewing het hul geld in buitelandse rekeninge gestoor. Dikwels was dit skadu en het die etiese oorgesteeklyn. Alhoewel Mossack-Fonseca 'n organisasie was wat geheimhouding gespesialiseer het, was sy inligtingsekuriteitstrategie amper nie-bestaande.Vir 'n begin was die WordPress-beeldskyfie wat hulle gebruik het, verouderd. Tweedens, hulle gebruik 'n 3-jarige Drupal met bekende kwesbaarhede.Verrassend genoeg, die organisasie se stelseladministrateurs los hierdie probleme nie op nie.

lesse:

  • > moet altyd seker maak dat u CMS-platforms, -toepassings en -temas gereeld opgedateer word..
  • > bly op hoogte van die nuutste CMS-sekuriteitsbedreigings. Joomla, Drupal, WordPress en anderdienste het databasisse hiervoor.
  • > scan alle plugins voordat jy dit implementeer en aktiveer

Tweede geval: PayPal se profielfoto

Florian Courtial ('n Franse sagteware-ingenieur) het 'n CSRF (kruisplekversoek-vervalsing) gevind.kwesbaarheid in PayPal se nuwer site, PayPal.me. Die wêreldwye aanlynbetalingsreus het PayPal.me onthul om vinniger betalings te fasiliteer. MaarPayPal.me kan uitgebuit word. Florian was in staat om die CSRF-token te wysig en selfs verwyder en sodoende die gebruiker se profielfoto op te dateer. As ditwas, iemand kan iemand anders naboots deur hul foto aanlyn te kry, byvoorbeeld van Facebook.

lesse:

  • > gebruik unieke CSRF tokens vir gebruikers - dit moet uniek wees en verander wanneer die gebruiker inteken.
  • > teken per versoek - behalwe die punt hierbo, moet hierdie tekens ook beskikbaar gestel wordwanneer die gebruiker hulle versoek. Dit bied addisionele beskerming.
  • > tydsberekening - verminder die kwesbaarheid as die rekening vir 'n geruime tyd onaktief bly.

Derde saak: Die Russiese ministerie van buitelandse sake staan ​​voor 'n XSS-verleentheid

Terwyl die meeste webaanvalle bedoel is om 'n organisasie se inkomste, reputasie,en verkeer, sommige is bedoel om in verleentheid te bring. Geval in punt, die hack wat nog nooit in Rusland gebeur het nie. Dit is wat gebeur het: 'n Amerikaanse hacker(die naam van die Jester) het die kruiswerf-skripsie (XSS) se kwesbaarheid ontgin wat hy op die Russiese ministerie van buitelandse sake se webwerf gesien het. Diejester het 'n domkopwebwerf geskep wat die vooruitsigte van die amptelike webwerf naboots, behalwe vir die opskrif wat hy aangepas het om 'nbespotting van hulle.

lesse:

  • > maak die HTML-opmaak skoon
  • > voeg geen data in tensy jy dit verifieer
  • > gebruik 'n JavaScript-ontsnap voordat jy onbetroubare data in die taal se (JavaScript) datawaardes invoer
  • > beskerm jouself van DOM-gebaseerde XSS-kwesbaarhede
November 28, 2017
Drie Web Application Security Lessons in gedagte te hou. Semalt Expert weet hoe om te vermy om 'n slagoffer van cyber misdadigers te word
Reply