Back to Question Center
0

სამი ვებ-აპლიკაციის უსაფრთხოების გაკვეთილი უნდა გაიზარდოს. Semalt Expert იცის როგორ თავიდან აცილება ხდება მსხვერპლი კიბერ კრიმინალების

1 answers:

2015 წელს, Ponome Institute გამოაქვეყნა დასკვნები სასწავლო "ფასი კიბერ დანაშაული",რაც მათ ჩაატარეს. არ იყო გასაკვირი, რომ კიბერ დანაშაულის ღირებულება იზრდება. თუმცა, მოღვაწეები იყვნენ დუმილი.Cybersecurity Ventures (გლობალური კონგლომერატის) პროექტები, რომ ეს ღირებულება მოხვდა $ 6 ტრილიონი წელიწადში. საშუალოდ, ის იღებს ორგანიზაციას31 დღის განმავლობაში კი კიბერ დანაშაულის შემდეგ 639 500 დოლარის ღირებულების რემედიაციის ხარჯზე.

იცით თუ არა, რომ სამსახურის უარყოფა (DDOS თავდასხმები), ვებ დაფუძნებული დარღვევები და მუქარაინსაიდერები შეადგენენ ყველა კიბერ დანაშაულის ხარჯების 55% -ს? ეს არა მხოლოდ საფრთხეს უქმნის თქვენს მონაცემებს, არამედ მოგებასაც მოგცემთ.

ფრენკ აბგნალა, მომხმარებელთა წარმატების მენეჯერი სემალტი ციფრული სერვისები გთავაზობთ 2016 წელს განხორციელებული დარღვევების შემდეგ სამი შემთხვევას.

პირველი შემთხვევა: Mossack-Fonseca (პანამის ფურცლები)

Panama Papers სკანდალი შეიჭრა limelight 2015 წელს, არამედ იმიტომ, რომმილიონობით დოკუმენტი, რომელიც უნდა გადაეფლონ, 2016 წელს აფეთქდა. გაჟონვა გამოვლინდა, როგორ პოლიტიკოსები, მდიდარი ბიზნესმენები,ცნობილი სახეები და საზოგადოების კრეატიულობა ფული ინახება ფულის ოფშორულ ანგარიშებზე. ხშირად, ეს იყო shady და გადალახა ეთიკურიხაზი. მიუხედავად იმისა, რომ Mossack-Fonseca იყო ორგანიზაცია, რომელიც სპეციალიზდება საიდუმლოება, მისი ინფორმაციული უსაფრთხოების სტრატეგია თითქმის არ არსებობდა.დასაწყისისთვის, WordPress გამოსახულების სლაიდ მოდული იყენებდა მოძველებული. მეორე, ისინი იყენებენ 3 წლის Drupal ცნობილია მოწყვლადი.საოცარია, ორგანიზაციის სისტემური ადმინისტრატორები ამ საკითხს არასოდეს გადაწყვეტენ.

გაკვეთილები:

  • > ყოველთვის უზრუნველყოფს, რომ თქვენი CMS პლატფორმები, მოდულები და თემები რეგულარულად განახლდება..
  • > დარჩება განახლებული უახლესი CMS უსაფრთხოების მუქარა. Joomla, Drupal, WordPress და სხვამომსახურებას აქვს მონაცემთა ბაზები.
  • > სკანირების ყველა დანამატი სანამ განახორციელებს და გააქტიურება მათ

მეორე შემთხვევა: PayPal- ის პროფილის სურათი

ფლორიანის სასამართლო (ფრანგული პროგრამული ინჟინერი) მოიძებნა CSRF (ჯვრის საიტის მოთხოვნის გაყალბება)მოწყვლადობა PayPal- ის ახალ საიტზე, PayPal.me. გლობალური ონლაინ გადახდის გიგანტი გამოაქვეყნა PayPal.me, რათა ხელი შეუწყოს სწრაფად გადახდები. თუმცა,PayPal.me შეიძლება გამოყენებული იქნეს. ფლორიანმა შეძლო შეცვალოს და კიდევ წაიშალოს CSRF ნიშნად და ამით განახლდება მომხმარებლის პროფილის სურათი. როგორც ესიყო, ვინმეს შეეძლო ვინმეს მიაწეროს ვინმემ მათი სურათის მიღება Facebook- ისგან მაგალითად.

გაკვეთილები:

  • > სარგებლობს უნიკალური CSRF tokens მომხმარებელთათვის - ეს უნდა იყოს უნიკალური და შეცვალოთ მომხმარებელი მომხმარებლის მიერ მოთავსებული
  • > ნიშნად თხოვნით - გარდა ზემოაღნიშნული პუნქტისა, ეს სიმბოლოებიც უნდა იყოს ხელმისაწვდომიროდესაც მომხმარებელი ითხოვს მათ. ის უზრუნველყოფს დამატებით დაცვას.

მესამე შემთხვევა: რუსეთის საგარეო საქმეთა სამინისტრო XSS შეშფოთებას იწვევს

მიუხედავად იმისა, რომ ყველაზე ვებ თავდასხმების ნიშნავდა wreak Havoc ორგანიზაციის შემოსავლების, რეპუტაცია,და საგზაო, ზოგიერთი იგულისხმება უხერხულობისთვის. საქმე იმაშია, რომ არ მოხდა რუსეთში. ეს არის ის, რაც მოხდა: ამერიკელი ჰაკერი(მეტსახელად Jester) ექსპლოატირებული ჯვრის საიტი სკრიფტინგის (XSS) დაუცველობის, რომ მან დაინახა რუსეთის საგარეო საქმეთა სამინისტროს ვებგვერდზე. ისჯესტერმა შექმნა დუბლირებული ვებსაიტი, რომელიც ასახავდა ოფიციალურ ვებ-გვერდს, გარდა იმ სათაურით, რომელიც მას ადგენდა,მათ დაცინვა.

გაკვეთილები:

  • > სანიტარიზაცია HTML მარკირებას
  • > არ ჩაწერეთ მონაცემები, სანამ არ დადასტურებ ამას
  • > გამოიყენეთ JavaScript გაქცევა, სანამ შეუძლებელია მონაცემთა ენობრივი (JavaScript) მონაცემების მნიშვნელობებში შეყვანა
  • > დაიცავს თავს DOM- ის დაფუძნებული XSS ხარვეზებით
November 28, 2017
სამი ვებ-აპლიკაციის უსაფრთხოების გაკვეთილი უნდა გაიზარდოს. Semalt Expert იცის როგორ თავიდან აცილება ხდება მსხვერპლი კიბერ კრიმინალების
Reply