Back to Question Center
0

Երեք վեբ հավելվածի անվտանգության դասեր, որոնք պետք է պահել մտքում: Semalt- ի փորձագետը գիտի `ինչպես խուսափել Cyber ​​Criminals- ի զոհերից

1 answers:

2015 թ.-ին Պոնոմոնի ինստիտուտը հրապարակել է «Կիբեր հանցագործության արժեքը» ուսումնասիրության արդյունքները,որոնք նրանք անցկացրել են: Զարմանալի չէ, որ կիբերհանցագործության արժեքը աճում է: Այնուամենայնիվ, թվերը խեղդում էին:Cybersecurity Ventures (գլոբալ կոնգլոմերատ) ծրագրեր, որոնց արժեքը կկազմի տարեկան 6 տրիլիոն դոլար: Միջին հաշվով, դա կազմակերպություն է31 օր, կիբեր հանցագործությունից հետո, վերադառնալով վերականգնման ծախսին `մոտ 639 500 դոլար:

7) Դուք գիտեք, որ ծառայության ժխտումը (DDOS հարձակումները), վեբ վրա հիմնված խախտումները եւ չարամիտ ենկիբեր հանցագործությունների ծախսերի 55% -ը կազմում են ներսում: Սա ոչ միայն վտանգ է ներկայացնում ձեր տվյալների համար, այլեւ կարող է ձեզ կորցնել եկամուտ:

Frank Abagnale, Հաճախորդի հաջողության մենեջեր Semalt Թվային ծառայություններ, առաջարկում է հաշվի առնել 2016 թվականին կատարված խախտումների հետեւյալ երեք դեպքերը:

Առաջին դեպքը. Մոզաք Ֆոնսեկա (Պանամայի թերթ)

Պանամայի փաստաթղթերի սկանդալը ուշադրություն է դարձրել 2015 թ., Սակայն այն պատճառովմիլիոնավոր փաստաթղթեր, որոնք պետք է փոխարինվեին, այն պայթեցվել է 2016 թվականին: Արտահոսքը ցույց տվեց, թե ինչպես են քաղաքական գործիչները, հարուստ գործարարները,հանրահայտ մարդիկ եւ հասարակության կրեմ դե լա creme- ն իրենց գումարները պահպանում են օֆշորային հաշիվներում: Հաճախ դա ստվերային էր եւ անցավ էթիկականգիծը: Չնայած Mossack-Fonseca- ը գաղտնի մասնագիտացված կազմակերպություն էր, որի տեղեկատվական անվտանգության ռազմավարությունը գրեթե գոյություն չունեցավ:Սկսած, WordPress- ի պատկերային slide plugin- ը օգտագործվել է հնացած: Երկրորդ, նրանք օգտագործում էին 3-ամյա Drupal հայտնի խոցելիություններով:Զարմանալի է, որ կազմակերպության համակարգային ադմինիստրատորները երբեք չեն լուծում այդ խնդիրները:

Դասեր `

  • > միշտ ապահովել, որ ձեր CMS պլատֆորմները, կոնտակտները եւ թեմաները պարբերաբար թարմացվեն:.
  • > մնալ նորագույն CMS անվտանգության սպառնալիքներով: Joomla, Drupal, WordPress եւ այլնծառայությունների համար տվյալների բազա կա:
  • > սկանավորել բոլոր պլագինները նախքան դրանք իրականացնելը եւ ակտիվացնելը

Երկրորդ դեպքում `PayPal- ի պրոֆիլի նկարը

Florian Courtial- ը (ֆրանսիական ծրագրային ինժեներ) հայտնաբերեց CSRF- ը (խաչմերուկի խնդրանքը կեղծելը)PayPal- ի նոր կայքում, PayPal.me- ում խոցելիությունը: Համաշխարհային առցանց վճարային հսկան PayPal.me- ը ներկայացրեց ավելի արագ վճարումներ կատարելու համար: Այնուամենայնիվ,PayPal.me- ը կարող է շահագործվել: Ֆլորիան ի վիճակի էր խմբագրել եւ նույնիսկ հեռացնել CSRF նշանը `դրանով իսկ թարմացնելով օգտվողի պրոֆիլը: Ինչպես դաեթե որեւէ մեկը կարող է ուրիշի կերպարանափոխել, օրինակ, ֆեյսբուքից նկարներ ստանալու միջոցով:

Դասեր `

  • > օգտվել բացառիկ CSRF նշաններից օգտվողների համար, դրանք պետք է լինեն եզակի եւ փոխվի, երբ օգտագործողը մուտք է գործում
  • > նշանը յուրաքանչյուր խնդրանքի համար, բացի վերը նշված կետից, պետք է նաեւ մատչելի լինի այդ տողերըերբ օգտվողը պահանջում է նրանց: Այն ապահովում է լրացուցիչ պաշտպանություն:
  • > հաշվարկը `նվազեցնում է խոցելիությունը, եթե հաշիվը որոշ ժամանակով ակտիվ չէ:

Երրորդ գործը. Ռուսաստանի արտաքին գործերի նախարարությունը XSS- ի ամաչկոտության դեմ

Թեեւ ոստայնի հարձակումների մեծ մասը նպատակ ունի խարխլել կազմակերպության եկամուտը, հեղինակությունը,եւ երթեւեկությունը, ոմանց համար անհարմար է: Դեպքի առարկա, խափանում, որը երբեք չի եղել Ռուսաստանում: Սա տեղի ունեցավ `ամերիկյան հաքեր(մականունը Jester) շահագործել խաչ տեղում scripting (XSS) խոցելիությունը, որ նա տեսավ Ռուսաստանի արտաքին գործերի նախարարության կայքում. Thejester- ն ստեղծել է մի կայք, որը մեղմեց պաշտոնական կայքի հեռանկարը, բացառությամբ այն վերնագրի, որը նա հարմարեցրել էրնրանց ծաղրանքը:

Դասեր `

  • > sanitize HTML նշում
  • > չեն միացնում տվյալները, եթե չեք հաստատում այն ​​
  • > օգտագործել JavaScript- ի փախուստը նախքան վստահելի տվյալները մուտքագրել լեզուն (JavaScript) տվյալների արժեքները
  • > պաշտպանել ինքներդ DOM- ի վրա հիմնված XSS խոցելիներից
November 28, 2017
Երեք վեբ հավելվածի անվտանգության դասեր, որոնք պետք է պահել մտքում: Semalt- ի փորձագետը գիտի `ինչպես խուսափել Cyber ​​Criminals- ի զոհերից
Reply