Back to Question Center
0

Τρία μαθήματα ασφάλειας εφαρμογών ιστού που πρέπει να θυμάστε. Semalt Expert γνωρίζει πώς να αποφύγετε να γίνετε θύμα εγκληματιών του κυβερνοχώρου

1 answers:

Το 2015, το Ινστιτούτο Ponemon δημοσίευσε τα ευρήματα από μια μελέτη "Το κόστος του εγκλήματος στον κυβερνοχώρο",που είχαν διεξαγάγει. Δεν ήταν έκπληξη το γεγονός ότι το κόστος του εγκλήματος στον κυβερνοχώρο αυξανόταν. Ωστόσο, τα αριθμητικά στοιχεία τραυματίστηκαν.Η Cybersecurity Ventures (παγκόσμιο όμιλο ετερογενών δραστηριοτήτων) εκτιμά ότι το κόστος αυτό θα φτάσει τα 6 τρισεκατομμύρια δολάρια ετησίως. Κατά μέσο όρο, χρειάζεται μια οργάνωση31 ημέρες για να αναπηδήσει πίσω μετά από ένα έγκλημα στον κυβερνοχώρο με το κόστος της αποκατάστασης σε περίπου $ 639 500.

Γνωρίζατε ότι άρνηση εξυπηρέτησης (επιθέσεις DDOS), διαδικτυακές παραβιάσεις και κακόβουλαοι εσωτερικοί συνιστούν το 55% του συνολικού κόστους του εγκλήματος στον κυβερνοχώρο; Αυτό δεν αποτελεί μόνο μια απειλή για τα δεδομένα σας, αλλά επίσης θα μπορούσε να σας κάνει να χάσετε έσοδα.

Frank Abagnale, διευθυντής επιτυχίας πελατών της Σιάλτ Digital Services, προσφέρει να εξετάσει τις ακόλουθες τρεις περιπτώσεις παραβιάσεων που έγιναν το 2016.

Πρώτη περίπτωση: Mossack-Fonseca (Τα έγγραφα του Παναμά)

Το σκάνδαλο του Papaya Papers έσπασε στο προσκήνιο το 2015, αλλά λόγω τουτα εκατομμύρια των εγγράφων που έπρεπε να κοσκινιστούν, εκτοξεύτηκαν το 2016. Η διαρροή αποκάλυψε πώς οι πολιτικοί, πλούσιοι επιχειρηματίες,οι διασημότητες και η creme de la creme της κοινωνίας αποθηκεύουν τα χρήματά τους σε υπεράκτιες αποθήκες. Συχνά, αυτό ήταν σκιερό και διέσχισε το ηθικόγραμμή. Παρόλο που η Mossack-Fonseca ήταν ένας οργανισμός που ειδικεύτηκε στην μυστικότητα, η στρατηγική της για την ασφάλεια των πληροφοριών ήταν σχεδόν ανύπαρκτη.Για αρχή, το προσάρτημα διαφάνειας εικόνας της WordPress που χρησιμοποιούσαν ήταν ξεπερασμένο. Δεύτερον, χρησιμοποίησαν ένα Drupal ηλικίας 3 ετών με γνωστά τρωτά σημεία.Παραδόξως, οι διαχειριστές συστημάτων του οργανισμού δεν επιλύουν ποτέ αυτά τα ζητήματα.

Μαθήματα:

  • > εξασφαλίζετε πάντοτε ότι οι πλατφόρμες CMS, τα plugins και τα θέματα ενημερώνονται τακτικά..
  • > ενημερώστε με τις τελευταίες απειλές ασφάλειας CMS. Joomla, Drupal, WordPress και άλλαοι υπηρεσίες έχουν βάσεις δεδομένων για αυτό.
  • > σαρώστε όλα τα πρόσθετα πριν τα εφαρμόσετε και ενεργοποιήσετε

Δεύτερη περίπτωση: Η εικόνα προφίλ του PayPal

Ο Florian Courtial (γαλλικός μηχανικός λογισμικού) βρήκε μια CSRFευπάθεια στον νεότερο ιστότοπο του PayPal, PayPal.me. Ο παγκόσμιος γίγαντας online πληρωμών παρουσίασε το PayPal.me για να διευκολύνει τις ταχύτερες πληρωμές. Ωστόσο,Το PayPal.me θα μπορούσε να αξιοποιηθεί. Ο Florian μπόρεσε να επεξεργαστεί και ακόμα και να αφαιρέσει το σήμα CSRF, ενημερώνοντας έτσι την εικόνα προφίλ του χρήστη. Οπωςήταν, ο καθένας θα μπορούσε να μιμηθεί κάποιον άλλον, να πάρει την εικόνα τους on-line λένε για παράδειγμα από το Facebook.

Μαθήματα:

  • > κάνουν χρήση μοναδικών αναγνωριστικών CSRF για χρήστες - αυτές πρέπει να είναι μοναδικές και να αλλάζουν κάθε φορά που ο χρήστης συνδέεται.
  • > ανά αίτημα - εκτός από το ανωτέρω σημείο, οι εν λόγω μάρκες θα πρέπει επίσης να είναι διαθέσιμεςόταν το ζητήσει ο χρήστης. Παρέχει πρόσθετη προστασία.
  • > - μειώνει την ευπάθεια εάν ο λογαριασμός παραμείνει ανενεργός για κάποιο χρονικό διάστημα

Τρίτη περίπτωση: Το ρωσικό υπουργείο Εξωτερικών αντιμετωπίζει μια αμηχανία XSS

Ενώ οι περισσότερες επιθέσεις ιστού έχουν σκοπό να προκαλέσουν τον όλεθρο για τα έσοδα, τη φήμη,και η κυκλοφορία, μερικοί πρέπει να αμηχανία. Στην προκειμένη περίπτωση, το hack που δεν συνέβη ποτέ στη Ρωσία. Αυτό συνέβη: ένας Αμερικανός χάκερ(με το ψευδώνυμο Jester) εκμεταλλεύτηκε την ευπάθεια του XSS (cross site scripting) που είδε στην ιστοσελίδα του υπουργείου Εξωτερικών της Ρωσίας. οδημιουργήθηκε ένας εικονικός ιστότοπος που μιμούσε την προοπτική της επίσημης ιστοσελίδας εκτός από τον τίτλο, τον οποίο προσαρμόζει για να κάνει μιατα ψεύδη τους.

Μαθήματα:

  • > απολύμανση της σήμανσης HTML
  • > δεν εισάγετε δεδομένα εκτός αν το επαληθεύσετε
  • > χρησιμοποιήστε μια διαφυγή JavaScript πριν εισαγάγετε μη αξιόπιστα δεδομένα στις τιμές δεδομένων γλώσσας (JavaScript)
  • > προστατεύετε τον εαυτό σας από τα ευπάθειες XSS που βασίζονται στο DOM
November 28, 2017
Τρία μαθήματα ασφάλειας εφαρμογών ιστού που πρέπει να θυμάστε. Semalt Expert γνωρίζει πώς να αποφύγετε να γίνετε θύμα εγκληματιών του κυβερνοχώρου
Reply