Tri Mësime të Sigurisë së Aplikimit në Ueb për të mbajtur mend. Eksperti Semalt e di se si të shmangni bërjen e një viktimë të kriminelëve në internet

Në vitin 2015, Instituti Ponemon lëshoi gjetje nga një studim "Kostoja e Krimit Kibernetik", të cilin ata kishin kryer. Nuk u befasua që kostoja e krimit në internet ishte në rritje. Megjithatë, shifrat ishin belbëzuese. Projektet e sipërmarrjeve në internet (konglomerat botëror) që kjo kosto do të arrijë në 6 trilion dollarë në vit. Mesatarisht, i duhen një organizate 31 ditë për të kërcyer përsëri pas një krimi në internet me koston e riparimit në rreth 639 500 dollarë.

A e dini se mohimi i shërbimit (sulmet e DDOS), shkeljet e bazuara në internet dhe të brendshëm me qëllim të keq përbëjnë 55% të të gjitha kostove të krimit në internet? Kjo jo vetëm që paraqet një kërcënim për të dhënat tuaja, por gjithashtu mund t'ju bëjë të humbni të ardhurat.

Frank Abagnale, Menaxheri i Suksesit të Konsumatorëve të Shërbimeve Dixhitale të Semalt , ofron për të shqyrtuar tre rastet e mëposhtme të shkeljeve të bëra në vitin 2016.

Rasti i parë: Mossack-Fonseca (Gazetat e Panamasë)

Skandali i Panama Papers u hodh në qendër të vëmendjes në vitin 2015, por për shkak të miliona dokumenteve që duhej të shndërroheshin, ajo u hodh në erë në vitin 2016. Rrjedhjet zbuluan sesi depozituan politikanë, biznesmenë të pasur, të famshëm dhe krem de la krem i shoqërisë paratë e tyre në llogaritë në det të hapur. Shpesh, kjo ishte me hije dhe kalonte vijën etike. Edhe pse Mossack-Fonseca ishte një organizatë që specializohej në fshehtësi, strategjia e saj për sigurinë e informacionit ishte pothuajse jo ekzistente. Për një fillim, shtojca e rrëshqitjes së figurës WordPress që përdorën ishte e vjetëruar. Së dyti, ata përdorën një Drupal 3-vjeçar me dobësi të njohura. Uditërisht, administratorët e sistemit të organizatës nuk i zgjidhin kurrë këto çështje.

mësimet:

  • > gjithmonë sigurohuni që platformat, pluginet dhe temat tuaja CMS përditësohen rregullisht.
  • > qëndroni të azhurnuar me kërcënimet më të fundit të sigurisë CMS. Joomla, Drupal, WordPress dhe shërbime të tjera kanë bazat e të dhënave për këtë.
  • > skanoni të gjitha shtojcat përpara se t'i zbatoni dhe aktivizoni ato

Rasti i dytë: Fotografia e profilit të PayPal

Florian Courtial (një inxhinier francez i programeve kompjuterike) gjeti një cenueshmëri CSRF (faqe për ndërprerje të kërkesës në terren) në sitin më të ri të PayPal, PayPal.me. Gjigandi global i pagesave në internet zbuloi PayPal.me për të lehtësuar pagesat më të shpejta. Sidoqoftë, PayPal.me mund të shfrytëzohet. Florian ishte në gjendje të redaktojë dhe madje hoqi shenjën CSRF duke aktualizuar kështu foton e profilit të përdoruesit. Siç ishte, dikush mund të falsifikojë dikë tjetër duke e marrë foton e tyre në internet të themi për shembull nga Facebook.

mësimet:

  • > shfrytëzoni shenja unike CSRF për përdoruesit - këto duhet të jenë unike dhe të ndryshojnë sa herë që përdoruesi regjistrohet.
  • > shenjë për kërkesë - përveç pikës më lart, këto shenja duhet të vihen në dispozicion kur përdoruesi kërkon për to. Siguron mbrojtje shtesë.
  • > skadimi i afatit - zvogëlon ndjeshmërinë nëse llogaria mbetet joaktive për ca kohë.

Rasti i tretë: Ministria e Punëve të Jashtme ruse përballet me një siklet XSS

Ndërsa shumica e sulmeve në internet kanë për qëllim të shkatërrojnë të ardhurat, reputacionin dhe trafikun e një organizate, disa synon të sikletojnë. Rast në fjalë, hile që nuk ka ndodhur kurrë në Rusi. Kjo është ajo që ndodhi: një haker amerikan (me nofkën Jester) shfrytëzoi prekshmërinë e faqeve kryq (XSS) që ai pa në faqen e internetit të ministrisë së Punëve të Jashtme ruse. Jester krijoi një faqe interneti kuzhine që imitonte pamjen e faqes zyrtare, përveç titullit, të cilin ai e personalizoi për të bërë një tallje të tyre.

mësimet:

  • > sanitizoni shënjimin HTML
  • > mos i futni të dhënat nëse nuk i vërtetoni ato
  • > përdorni një arratisje JavaScript përpara se të futni të dhëna jo të besueshme në vlerat e të dhënave të gjuhës (JavaScript)
  • > mbrojeni veten nga dobësitë e bazuara në DOM bazuar në DSS

mass gmail