Back to Question Center
0

Üç Veb Proqram Təhlükəsizliyi Dərsləri Mind Tutmaq üçün. Semalt Expert, Cyber ​​Criminals'tan qurban almaqdan necə çəkinir?

1 answers:

2015-ci ildə Ponemon İnstitutu "Kiber cinayətlərin xərcləri"onlar həyata keçirmişlər. Kiber cinayətlərin xərclərinin artması sürpriz olmamışdı. Ancaq rəqəmlər kekemeydi.Cybersecurity Ventures (qlobal conglomerate) layihələri, bu dəyəri illik 6 trilyon dollar təşkil edəcək - best security surveillance company. Orta hesabla bir təşkilat alır31 gün təxirə salınma dəyəri ilə 63 milyard 500 ABŞ dolları olan bir siber cinayətdən sonra sıçrayacaq.

Xidmətin rəddini (DDOS hücumları), web-based pozuntuları və zərərli olduğunu bilirdinizmi?kiber cinayətlərə görə bütün xərclərin 55% -ni təşkil edir? Bu, məlumatlarınız üçün təhlükə yaradır, həm də gəlir əldə edə bilər.

Frank Abagnale, Müştərilərin Müvəffəqiyyət Müdiri Semalet Digital Services, 2016-cı ildə edilən üç pozuntu halını nəzərdən keçirməyi təklif edir.

Birinci hal: Mossack-Fonseca (Panama Papers)

Panama Qəzetlərinin skandalı 2015-ci ildə diqqəti çəkdi, ancaq bunun səbəbi2016-cı ildə partlatılmaq məcburiyyətində qalan milyonlarla sənəd, 2016-cı ildə partladılmışdı. Sızıntı, siyasətçilər, zəngin iş adamları,məşhurlar və cəmiyyətin krema de la creması offshore hesablarında pul saxlayır. Tez-tez bu, soyuq idi və etik keçdiline. Mossack-Fonseca gizlilikdə ixtisaslaşmış bir təşkilat olsa da, onun informasiya təhlükəsizliyi strategiyası təxminən qeyri-mövcud idi.Bir başlanğıc üçün istifadə etdikləri WordPress şəkil slayd plakası köhnəlmişdi. İkincisi, onlar 3 yaşındakı Drupal adlı məlum zəifliklərdən istifadə edirdilər.Təəccüblüdür ki, təşkilatın sistem administratorları bu məsələləri həll etmirlər.

Dərslər:

  • > həmişə CMS platformalarınızın, plugins və mövzularınızın mütəmadi olaraq yenilənməsini təmin edin..
  • > son CMS təhlükəsizliyi təhdidləri ilə gündəmə qalın. Joomla, Drupal, WordPress və digərləriBunun üçün verilənlər bazası var.
  • > tətbiq etmə və aktivləşdirməzdən əvvəl bütün plaginləri skan edin

İkinci vəziyyət: PayPal profil şəkli

Florian Courtial (bir Fransız proqram mühəndisi) CSRF (cross site request spoofing)PayPal-ın yeni saytında, PayPal.me. Qlobal onlayn ödəniş nəhəngi PayPal.me-ni daha sürətli ödəmələri asanlaşdırmaq üçün təqdim etdi. Lakin,PayPal.me istismar edilə bilər. Florian, CSRF simgesini düzəltmək və hətta silinərək istifadəçinin profil şəklini yeniləyə bildi. Bu kimiKimsə başqa birinə şəkil çəkərək Facebook-dan Facebook-a daxil ola bilər.

Dərslər:

  • > istifadəçilər üçün birbaşa unikal CSRF simvolları - istifadəçi daxil olduqda bunlar unikal olmalıdır və dəyişir
  • > token istək üzrə - yuxarıdakı nöqtədən başqa, bu simvollar da təqdim edilməlidiristifadəçi istədikləri zaman. Əlavə müdafiə təmin edir.
  • > vaxt ayırma - hesab bir müddət aktiv olmadıqda, zəifliyi azaldır.

Üçüncü hal: Rusiya Xarici İşlər Nazirliyi XSS-nin Çaşqınlığına Qarşı

Bir çox veb hücumları təşkilatın gəlirinə, şöhrətinə,və trafik, bəzilərini utandırmaq nəzərdə tutulur. Nəzərə baxmayaraq, Rusiyada heç bir zaman baş verməmiş hack. Bu baş verdi: Amerikalı bir hacker(Jester ləqəbli), Rusiyanın Xarici İşlər Nazirliyinin saytında gördüyü xas sayt scripting (XSS) zəifliyini istismar etdi. Məqalələrjester rəsmi veb saytın dünyagörüşünü mimicked edən bir baş səhifəni yaratmışdır.onları istehza.

Dərslər:

  • > HTML biçimlendirmesini sanitize et
  • > verdiyiniz məlumatları təsdiq etmədiyiniz halda məlumatları əlavə etməyin
  • > dilin (JavaScript) məlumat dəyərlərindən etibarlı olmayan məlumatları daxil etmədən əvvəl bir JavaScript qaçışını istifadə edin
  • > DOM əsaslı XSS ​​zəifliklərindən özünüzü qoruyun
November 28, 2017