Back to Question Center
0

שלושה אינטרנט אבטחת יישומים שיעורים כדי לזכור. המומחה יודע איך להימנע מלהיות קורבן של פושעי סייבר

1 answers:

בשנת 2015, מכון פונמון פרסמה ממצאי מחקר "עלות של פשע Cyber",אשר ניהלו. אין זה מפתיע כי העלות של פשע הקיברנטי גדל. עם זאת, הנתונים היו מגמגמים.מיזמים Cybersecurity (קונגלומרט העולמי) פרויקטים כי עלות זה יפגע 6 טריליון דולר בשנה. בממוצע, זה לוקח ארגון31 ימים כדי להקפיץ בחזרה אחרי פשע סייבר עם עלות תיקון ב כ 639 $ 500.

האם ידעת כי מניעת שירות (התקפות DDOS), הפרות מבוססות אינטרנט זדוניותinsiders לפצות 55% מכלל עלויות הפשע הקיברנטי? זה לא רק מהווה איום על הנתונים שלך, אלא גם עלול לגרום לך להפסיד הכנסות.

פרנק Abagnale, מנהל הצלחה של לקוחות Semalt Digital Services, מציעה לשקול את שלושת המקרים הבאים של הפרות שנעשו בשנת 2016.

מקרה ראשון: מוסק פונסקה (ניירות פנמה)

השערורייה של "פנמה" פרצה לאור הזרקורים ב -2015, אך בגללמיליוני מסמכים שהיה צורך לסנן דרך, זה היה פוצצו בשנת 2016. דליפה גילה כיצד פוליטיקאים, אנשי עסקים עשירים,סלבריטאים ואת קרם דה לה creme של החברה מאוחסנים הכסף שלהם בחשבונות offshore. לעתים קרובות, זה היה מוצל וחצה את המוסרקַו. אף על פי שמוסק פונסקה היה ארגון שהתמחה בסודיות, אסטרטגיית אבטחת המידע שלו כמעט לא קיימת.בתור התחלה, וורדפרס תמונה שקופית plugin הם השתמשו היה מיושן. שנית, הם השתמשו דרופל בן 3 עם נקודות תורפה ידועות.באופן מפתיע, מנהלי המערכת של הארגון מעולם לא פתרו בעיות אלה.

שיעורים:

  • > תמיד להבטיח כי פלטפורמות CMS שלך, plugins וערכות נושא מתעדכנים באופן שוטף..
  • > להישאר מעודכן עם האיומים האחרונים אבטחה CMS. ג 'ומלה, דרופל, וורדפרס ועוד
  • > לסרוק את כל התוספים לפני יישום ולהפעיל אותם

מקרה שני: תמונת הפרופיל של PayPal

פלוריאן קורטאל (מהנדס תוכנה צרפתי) מצא CSRF (בקשת אתר לזייף)פגיעות באתר החדש של PayPal, PayPal.me. ענקית התשלום המקוון העולמית חשפה את PayPal.me כדי לאפשר תשלומים מהירים יותר. למרות זאת,PayPal.me יכול להיות מנוצל. Florian היה מסוגל לערוך ואף להסיר את אסימון CSRF ובכך לעדכן את תמונת הפרופיל של המשתמש. כפי שהיה, מישהו יכול להתחזות למישהו אחר על ידי מקבל תמונה שלהם באינטרנט לומר למשל מפייסבוק.

שיעורים:

  • > מועיל CSRF סמלים ייחודיים עבור משתמשים - אלה צריכים להיות ייחודיים לשנות בכל פעם שהמשתמש נכנס.
  • > אסימון לבקשה - מלבד הנקודה לעיל, אסימונים אלה צריך להיות זמין גםכאשר המשתמש מבקש עבורם. הוא מספק הגנה נוספת.
  • > - מקטין את הפגיעות אם החשבון נשאר לא פעיל במשך זמן מה.

מקרה שלישי: משרד החוץ הרוסי מתמודד עם מבוכה XSS

בעוד שרוב התקפות האינטרנט נועדו להמיט על הכנסות הארגון, המוניטין,ואת התנועה, כמה נועדו להביך. מקרה לדוגמה, את גרזן כי מעולם לא קרה ברוסיה. זה מה שקרה: האקר אמריקני(המכונה "Jester") ניצל את הפגיעות של סקריפטים בין אתרים (XSS) שראה באתר האינטרנט של משרד החוץ הרוסי. הליצן יצר אתר דמה שחיקה את התחזית של האתר הרשמי למעט הכותרת, שהוא מותאם אישית לעשותלעג להם.

שיעורים:

  • > לטהר את סימון HTML
  • > אינם מכניסים נתונים אלא אם כן אתה מאמת אותה
  • > השתמש ב- JavaScript לפני שתזין נתונים לא מהימנים בערכי הנתונים של השפה (JavaScript)
  • > מגן על עצמך מפני פגיעות XSS מבוסס DOM
November 28, 2017
שלושה אינטרנט אבטחת יישומים שיעורים כדי לזכור. המומחה יודע איך להימנע מלהיות קורבן של פושעי סייבר
Reply