Három webes alkalmazás biztonsági tanulsága, amelyet figyelembe kell venni. A Semalt Expert tudja, hogyan kerülheti el a számítógépes bűnözők áldozatává válását

2015-ben a Ponemon Intézet nyilvánosságra hozta az általuk elvégzett, a számítógépes bűnözés költségeiről szóló tanulmány eredményeit. Nem meglepő, hogy a számítógépes bűnözés költségei növekedtek. A számok azonban dadogtak. A kiberbiztonsági vállalkozások (globális konglomerátum) projektjei szerint ez a költség évi 6 trillió dollárt fog elérni. A kiberbűnözés után egy szervezetnek átlagosan 31 napot vesz igénybe a visszatérés, amelynek helyreállítási költsége körülbelül 639 500 dollár.

Tudta, hogy a szolgáltatás megtagadása (DDOS támadások), a web alapú jogsértések és a rosszindulatú bennfentesek az internetes bűnözés összes költségének 55% -át teszik ki? Ez nemcsak veszélyt jelent az Ön adataira, hanem azt is eredményezheti, hogy elveszíti bevételeit.

Frank Abagnale, a Semalt Digital Services ügyfél-menedzserje felajánlja, hogy fontolja meg a 2016-ban elkövetett jogsértések következő három esetét.

Első eset: Mossack-Fonseca (The Panama Papers)

A Panama Papers botrány 2015-ben napvilágra került, de a dokumentumok millióinak miatt, amelyeket át kellett szitálni, 2016-ban felrobbantották. A szivárgás feltárta, hogy a politikusok, gazdag üzletemberek, hírességek és a társadalom creme de la creme pénzüket offshore számlákon. Ez gyakran árnyas volt és átlépte az etikai keretet. Noha a Mossack-Fonseca titoktartásra szakosodott szervezet, információbiztonsági stratégiája szinte nem létezett. Először is az általuk használt WordPress image dia plugin elavult. Másodszor, egy 3 éves Drupalt használtak, amelynek ismert sebezhetőségei vannak. Meglepő módon a szervezet rendszergazdái soha nem oldják meg ezeket a kérdéseket.

Lessons:

  • > mindig győződjön meg arról, hogy a CMS platformokat, beépülő modulokat és témákat rendszeresen frissítik.
  • > maradjon naprakész a CMS biztonsági fenyegetéseivel. A Joomla, a Drupal, a WordPress és más szolgáltatások ehhez adatbázisokat tartalmaznak.
  • > ellenőrizze az összes bővítményt, mielőtt végrehajtja és aktiválja őket

Második eset: PayPal profilképe

Florian Courtial (francia szoftvermérnök) egy CSRF (helyközi kérelem-hamisítás) sérülékenységet talált a PayPal újabb webhelyén, a PayPal.me-en. A globális online fizetési óriás bemutatta a PayPal.me-et a gyorsabb fizetések megkönnyítése érdekében. A PayPal.me azonban kihasználható. Florian képes volt szerkeszteni és akár eltávolítani is a CSRF tokent, ezáltal frissítve a felhasználó profilképét. Ahogy van, bárki másképp megszemélyesíthet valaki mást, ha online képet kap, például a Facebook-on.

Lessons:

  • > igénybe vehet egyedi CSRF tokeneket a felhasználók számára - ezeknek egyedinek kell lenniük, és minden alkalommal meg kell változniuk, amikor a felhasználó bejelentkezik.
  • > token kérésenként - kivéve a fenti pontot, ezeket a tokeneket akkor is rendelkezésre kell bocsátani, amikor a felhasználó igényli őket. További védelmet nyújt.
  • > időkorlát - csökkenti a sebezhetőséget, ha a fiók egy ideig inaktív marad.

Harmadik eset: az orosz külügyminisztérium XSS zavarral küzd

Míg a legtöbb internetes támadás célja a szervezet bevételeinek, hírnevének és forgalmának pusztítása, néhányuk zavarba ejtése. Példa erre: a hack, amely Oroszországban soha nem történt meg. Így történt: egy amerikai hacker (becenevén Jester) kihasználta a webhelyek közötti szkriptek (XSS) sebezhetőségét, amelyet az orosz külügyminisztérium webhelyén látott. A mûvész létrehozott egy dummy weboldalt, amely utánozta a hivatalos weboldal kilátásait, kivéve a címsort, amelyet testreszabottan megbotránkoztatott róluk.

Lessons:

  • > fertőtlenítse a HTML-jelölést
  • > csak akkor helyezze be az adatokat, ha ellenőrizte őket
  • > használjon JavaScriptet, mielőtt nem megbízható adatokat ad meg a nyelv (JavaScript) adatértékeiben
  • > védje meg magát a DOM alapú XSS sebezhetőségektől