Trei lecții de securitate pentru aplicații web de păstrat în minte. Expert Semalt știe cum să evite să devii o victimă a criminalilor informatici

În 2015, Institutul Ponemon a lansat concluziile unui studiu „Costul criminalității informatice”, pe care l-au realizat. Nu a fost o surpriză faptul că costul criminalității informatice crește. Cu toate acestea, cifrele se bâlbâiau. Proiecte de cibersecuritate (conglomerat global) proiectează că acest cost va atinge 6 trilioane de dolari pe an. În medie, este nevoie de o organizație de 31 de zile pentru a reveni după o crimă cibernetică, cu costul remedierii la aproximativ 639 500 de dolari.

Știați că refuzul de serviciu (atacuri DDOS), încălcările de pe web și persoanele insitioase compensează 55% din costurile criminalității informatice? Aceasta nu numai că reprezintă o amenințare pentru datele dvs., dar vă poate face să pierdeți venituri.

Frank Abagnale, Managerul de Succes al Clienților Semalt Digital Services, oferă să ia în considerare următoarele trei cazuri de încălcări făcute în 2016.

Primul caz: Mossack-Fonseca (The Panama Papers)

Scandalul Panama Papers a izbucnit în lumina reflectoarelor în 2015, dar din cauza milioanelor de documente care trebuiau să fie cernute, acesta a fost suflat în 2016. Scurgerea a dezvăluit modul în care stocau politicienii, oamenii de afaceri înstăriți, celebritățile și creme de la creme de societate. banii lor în conturi offshore. Adesea, acest lucru era umbrit și traversa linia etică. Deși Mossack-Fonseca era o organizație specializată în secret, strategia sa de securitate a informațiilor era aproape inexistentă. Pentru început, plugin-ul de diapozitive de imagine pe care le-au folosit au fost depășite. În al doilea rând, au folosit un Drupal în vârstă de 3 ani, cu vulnerabilități cunoscute. În mod surprinzător, administratorii de sistem ai organizației nu rezolvă niciodată aceste probleme.

Lecții:

  • > asigurați-vă întotdeauna că platformele, pluginurile și temele dvs. CMS sunt actualizate în mod regulat.
  • > rămâne la curent cu cele mai recente amenințări la adresa securității CMS. Joomla, Drupal, WordPress și alte servicii au baze de date pentru acest lucru.
  • > scanează toate pluginurile înainte de a le implementa și activa

Al doilea caz: poza de profil a lui PayPal

Florian Courtial (un inginer software francez) a găsit o vulnerabilitate CSRF (falsificare a cererilor de site) în noul site PayPal, PayPal.me. Gigantul global de plăți online a dezvăluit PayPal.me pentru a facilita plățile mai rapide. Cu toate acestea, PayPal.me ar putea fi exploatat. Florian a fost capabil să editeze și chiar a eliminat tokenul CSRF, actualizând astfel poza de profil a utilizatorului. Așa cum a fost, oricine ar putea să prevină pe altcineva, obținându-și poza online, de exemplu de pe Facebook.

Lecții:

  • > Dispun de jetoane CSRF unice pentru utilizatori - acestea ar trebui să fie unice și să se schimbe ori de câte ori utilizatorul se conectează.
  • > jeton pe cerere - în afară de punctul de mai sus, aceste jetoane ar trebui să fie, de asemenea, disponibile atunci când utilizatorul solicită pentru acestea. Oferă protecție suplimentară.
  • > sincronizare - reduce vulnerabilitatea dacă contul rămâne inactiv o perioadă de timp.

Al treilea caz: Ministerul rus al Afacerilor Externe se confruntă cu o îmbrățișare XSS

În timp ce majoritatea atacurilor web sunt menite să facă ravagii cu veniturile, reputația și traficul unei organizații, unele sunt destinate să stânjenească. Caz de fapt, hackul care nu s-a întâmplat niciodată în Rusia. Acest lucru s-a întâmplat: un hacker american (poreclit Jester) a exploatat vulnerabilitatea cross-scripting site-ului (XSS) pe care a văzut-o pe site-ul ministerului Afacerilor Externe al Rusiei. Bâlbâitul a creat un site web fals, care a imitat perspectivele site-ului oficial, cu excepția titlului, pe care l-a personalizat pentru a face o batjocură.

Lecții:

  • > igienizați marcajul HTML
  • > nu introduceți date decât dacă le verificați
  • > utilizați o scăpare JavaScript înainte de a introduce date neîncredere în valorile de date ale limbii (JavaScript)
  • > protejați-vă de vulnerabilitățile XSS bazate pe DOM

mass gmail