Tliet Lezzjonijiet tas-Sigurtà tal-Applikazzjoni tal-Web Biex Żommu Fil-Moħħ. Espert ta ’Semalt Jaf Kif Jevita li Issir Vittma ta’ Kriminali Ċibernetiċi

Fl-2015, l-Istitut Ponemon ħareġ sejbiet minn studju "Infiq ta 'Cyber Crime", li huma kienu wettqu. Ma waslet l-ebda sorpriża li l-prezz tal-kriminalità ċibernetika kien qed jiżdied. Madankollu, il-figuri kienu stuttering. Proġetti taċ-Ċibersigurtà (konglomerat globali) jipproġettaw li din l-ispiża tolqot $ 6 triljuni kull sena. Bħala medja, l-organizzazzjoni tieħu 31 jum biex tirkupra wara kriminalità ċibernetika bl-ispiża ta 'rimedjar ta' madwar $ 639,500.

Kont taf li ċ-ċaħda ta 'servizz (attakki DDOS), ksur ibbażat fuq il-web u persuni nterni malizzjużi jagħmlu tajjeb għal 55% tal-ispejjeż kollha tal-kriminalità ċibernetika? Dan mhux biss joħloq theddida għad-dejta tiegħek imma wkoll jista 'jġiegħlek titlef id-dħul.

Frank Abagnale, il-Maniġer tas-Suċċess tal-Klijent ta ' Semalt Servizzi Diġitali, joffri li jikkunsidra t-tliet każijiet ta' ksur li ġejjin fl-2016.

L-ewwel każ: Mossack-Fonseca (Il-Panama Papers)

L-iskandlu tal-Panama Papers irnexxielu jżomm l-attenzjoni fl-2015, iżda minħabba l-miljuni ta 'dokumenti li kellhom jiġu mgħarbula, inħareġ fl-2016. It-tnixxija wriet kif il-politiċi, negozjanti sinjuri, ċelebritajiet u l-Creme de la Creme tas-soċjetà jinħażnu flushom f'kontijiet offshore. Ħafna drabi, dan kien dellija u qasam il-linja etika. Għalkemm Mossack-Fonseca kienet organizzazzjoni li speċjalizzat fis-segretezza, l-istrateġija ta 'sigurtà tal-informazzjoni tagħha kienet kważi ineżistenti. Għall-bidu, il-plugin tal-islajds tal-immaġini WordPress li użaw kien skadut. It-tieni, huma użaw Drupal ta '3 snin bi vulnerabilitajiet magħrufa. B’sorpriża, l-amministraturi tas-sistema tal-organizzazzjoni qatt ma jsolvu dawn il-kwistjonijiet.

Lezzjonijiet:

  • > dejjem tiżgura li l-pjattaformi, il-plugins u t-temi CMS tiegħek jiġu aġġornati regolarment.
  • > tibqa 'aġġornat bl-aħħar theddid għas-sigurtà tas-CMS. Joomla, Drupal, WordPress u servizzi oħra għandhom bażijiet tad-dejta għal dan.
  • > skennja l-plugins kollha qabel ma timplimentahom u tattivahom

It-tieni każ: l-istampa tal-profil ta 'PayPal

Florian Courtial (inġinier tas-softwer Franċiż) sabet vulnerabbiltà ta ’CSRF (falsifikazzjoni ta’ talba għal sit) fis-sit l-aktar ġdid ta ’PayPal, PayPal.me. Il-ġgant tal-ħlas onlajn globali żvela PayPal.me biex jiffaċilita l-ħlasijiet aktar malajr. Madankollu, PayPal.me jista 'jiġi sfruttat. Florian kien kapaċi jeditja u saħansitra neħħa t-token CSRF biex b'hekk aġġorna l-istampa tal-profil tal-utent. Kif kien, kulħadd jista 'jimpersonja lil xi ħadd ieħor billi jġib l-istampa tagħhom online ngħidu aħna pereżempju minn Facebook.

Lezzjonijiet:

  • > Jutilizzaw tokens CSRF uniċi għall-utenti - dawn għandhom ikunu uniċi u jinbidlu kull meta l-utent jidħol.
  • > token għal kull talba - minbarra l-punt ta 'hawn fuq, dawn it-tokens għandhom ikunu disponibbli wkoll meta l-utent jitlob għalihom. Jipprovdi protezzjoni addizzjonali.
  • > timing out - inaqqas il-vulnerabilità jekk il-kont jibqa 'mhux attiv għal xi żmien.

It-tielet każ: Il-Ministeru għall-Affarijiet Barranin Russu qed jiffaċċja imbarazzament XSS

Filwaqt li ħafna attakki fuq il-web huma maħsuba biex joħolqu straġi għad-dħul, ir-reputazzjoni u t-traffiku ta 'organizzazzjoni, uħud huma maħsuba biex jimbarazzaw. Każ punt, il-hack li qatt ma ġara fir-Russja. Dan ġara: hacker Amerikan (imlaqqam il-Jester) sfrutta l-vulnerabilità ta 'scripting cross site (XSS) li huwa ra fuq il-websajt tal-ministeru għall-Affarijiet Barranin tar-Russja. Il-bufun ħoloq websajt finta li kienet timita l-prospetti tal-websajt uffiċjali ħlief għat-titlu, li hu apposta biex jagħmel il-ħaqq minnhom.

Lezzjonijiet:

  • > Sanettizza l-immarkar HTML
  • > ma daħħalx data sakemm ma tivverifikah
  • > uża s-salvataġġ tal-JavaScript qabel ma ddaħħal dejta mhux fdata fil-valuri tad-dejta (JavaScript) tal-lingwa
  • > Ipproteġi ruħek mill-vulnerabilitajiet XSS ibbażati fuq id-DOM

mass gmail