Üç Web Uygulaması Güvenlik Dersleri Akılda Tutulması. Semalt Uzmanı Siber Suçluların Kurbanı Olmaktan Kaçının

2015 yılında Ponemon Enstitüsü yürüttükleri "Siber Suçun Maliyeti" adlı bir araştırmadan bulgular yayınladı. Siber suçların maliyetinin artması şaşırtıcı değildi. Ancak rakamlar kekeliyordu. Bu maliyetin yılda 6 trilyon dolar olacağı siber güvenlik girişimleri (küresel holding) projeleri. Ortalama olarak, bir kuruluşun bir siber suçtan sonra geri dönüş maliyeti yaklaşık 639 500 $ olan geri dönmesi 31 gün sürer.

Hizmet reddi (DDOS saldırıları), web tabanlı ihlaller ve kötü niyetli içerilerin tüm siber suç maliyetlerinin% 55'ini oluşturduğunu biliyor muydunuz? Bu sadece verileriniz için bir tehdit oluşturmaz, aynı zamanda gelirinizi de düşürebilir.

Semalt Digital Services Müşteri Başarı Yöneticisi Frank Abagnale, 2016 yılında yapılan aşağıdaki üç ihlal vakasını değerlendirmeyi teklif ediyor.

İlk dava: Mossack-Fonseca (Panama Makaleleri)

Panama Kağıtları skandalı 2015 yılında ilgi odağı haline geldi, ancak elenmesi gereken milyonlarca belge nedeniyle 2016 yılında patlatıldı. Sızıntı, politikacıların, varlıklı işadamlarının, ünlülerin ve toplumun creme de la creme'in nasıl saklandığını ortaya çıkardı. paralarını offshore hesaplarında. Genellikle, bu gölgeli ve etik çizgiyi aştı. Mossack-Fonseca gizlilik konusunda uzmanlaşmış bir kuruluş olmasına rağmen, bilgi güvenliği stratejisi neredeyse yoktu. Başlangıç olarak, kullandıkları WordPress resim slayt eklentisi eskiydi. İkincisi, bilinen güvenlik açıkları olan 3 yaşında bir Drupal kullandılar. Şaşırtıcı bir şekilde, kuruluşun sistem yöneticileri bu sorunları asla çözmez.

Dersler:

  • > her zaman CMS platformlarınızın, eklentilerinizin ve temalarınızın düzenli olarak güncellendiğinden emin olun.
  • > en son CMS güvenlik tehditleriyle güncel kalın. Joomla, Drupal, WordPress ve diğer hizmetlerin bunun için veritabanları var.
  • > uygulamadan ve etkinleştirmeden önce tüm eklentileri tarayın

İkinci dava: PayPal'ın profil resmi

Florian Courtial (bir Fransız yazılım mühendisi) PayPal'ın yeni sitesi PayPal.me'de bir CSRF (siteler arası istek sahteciliği) güvenlik açığı buldu. Küresel online ödeme devi, daha hızlı ödemeleri kolaylaştırmak için PayPal.me'yi tanıttı. Ancak PayPal.me'den yararlanılabilir. Florian, CSRF jetonunu düzenleyebildi ve hatta kaldırarak kullanıcının profil resmini güncelledi. Olduğu gibi, herkes resimlerini çevrimiçi olarak Facebook'tan söyleyerek başka birisini taklit edebilir.

Dersler:

  • > kullanıcılar için benzersiz CSRF jetonlarından yararlanın - bunlar benzersiz olmalı ve kullanıcı her oturum açtığında değişmelidir.
  • > istek başına jeton - yukarıdaki nokta dışında, bu jetonlar kullanıcı istediği zaman da kullanılabilir olmalıdır. Ek koruma sağlar.
  • > zaman aşımı - hesap bir süre kullanılmadığında güvenlik açığını azaltır.

Üçüncü dava: Rusya Dışişleri Bakanlığı XSS Utanmasıyla Karşı Karşıya

Çoğu web saldırısı bir kuruluşun gelirini, itibarını ve trafiğini mahvetmek anlamına gelse de, bazıları utanç vermeyi amaçlamaktadır. Durumda, Rusya'da hiç olmamış kesmek. Bu oldu: Amerikalı bir hacker (Jester lakaplı) Rusya Dışişleri Bakanlığı web sitesinde gördüğü siteler arası komut dosyası oluşturma (XSS) güvenlik açığından yararlandı. Şakacı, alay konusu yapmak için özelleştirdiği başlık haricinde resmi web sitesinin görünümünü taklit eden kukla bir web sitesi oluşturdu.

Dersler:

  • > HTML işaretlemesini dezenfekte edin
  • > siz doğrulamadığınız sürece veri eklemeyin
  • > dilin (JavaScript) veri değerlerine güvenilmeyen veriler girmeden önce bir JavaScript çıkışını kullanın
  • > kendinizi DOM tabanlı XSS güvenlik açıklarından koruyun

mass gmail