Back to Question Center
0

Ba Bài học Bảo mật Ứng dụng Web Để Giữ trong Tâm trí. Semalt Expert Biết Làm thế nào để Tránh trở thành Nạn Nhân của tội phạm Cyber

1 answers:

Năm 2015, Viện Ponemon phát hành các phát hiện từ một nghiên cứu "Chi phí của tội phạm mạng",mà họ đã tiến hành. Không có gì ngạc nhiên khi chi phí tội phạm mạng ngày càng gia tăng. Tuy nhiên, những con số đang nói lắp.Dự án Cybersecurity Ventures (các tập đoàn toàn cầu) dự kiến ​​chi phí này sẽ đạt 6 nghìn tỷ đô la một năm. Trung bình, phải mất một tổ chức31 ngày để trả lại sau khi một tội phạm mạng với chi phí khắc phục khoảng $ 639 500.(số 8)

Bạn có biết rằng từ chối dịch vụ (tấn công DDOS), các vi phạm dựa trên web và độc hạingười trong cuộc chiếm 55% trong tổng số chi phí tội phạm mạng? Điều này không chỉ gây ra mối đe dọa đối với dữ liệu của bạn mà còn có thể khiến bạn mất doanh thu.(số 8)

Frank Abagnale, Quản lý Khách hàng thành công của Semalt Dịch vụ kỹ thuật số, đề nghị xem xét ba trường hợp vi phạm sau đây được thực hiện vào năm 2016.(số 8)

Trường hợp đầu tiên: Mossack-Fonseca (The Panama Papers)

Vụ bê bối Panama Papers đã bùng nổ trong ánh đèn sân khấu vào năm 2015, nhưng vìhàng triệu tài liệu đã được sàng lọc, nó đã được thổi vào năm 2016. Sự rò rỉ tiết lộ cách các chính trị gia, doanh nhân giàu có,người nổi tiếng và creme de la creme của xã hội được lưu trữ tiền của họ trong các tài khoản nước ngoài. Thông thường, điều này đã được râm và vượt qua đạo đứchàng. Mặc dù Mossack-Fonseca là một tổ chức chuyên về bí mật, nhưng chiến lược an ninh thông tin của nó hầu như không tồn tại.Để bắt đầu, trình cắm hình ảnh WordPress họ đã sử dụng đã lỗi thời. Thứ hai, họ đã sử dụng một Drupal 3 năm tuổi với các lỗ hổng được biết đến.Đáng ngạc nhiên, quản trị viên hệ thống của tổ chức không bao giờ giải quyết những vấn đề này.(số 8)

Bài học: (số 8)

  • > luôn đảm bảo rằng các nền tảng, plugin và chủ đề CMS của bạn được cập nhật thường xuyên..
  • > cập nhật các mối đe dọa bảo mật CMS mới nhất. Joomla, Drupal, WordPress và các sản phẩm khácdịch vụ có cơ sở dữ liệu cho việc này.
  • > quét tất cả các plugin trước khi bạn thực hiện và kích hoạt chúng

Trường hợp thứ hai: Ảnh hồ sơ của PayPal

Florian Courtial (một kỹ sư phần mềm của Pháp) tìm thấy một CSRF (cross-site yêu cầu giả mạo)lỗ hổng trong trang web mới hơn của PayPal, PayPal.me. Người khổng lồ thanh toán trực tuyến toàn cầu đã tiết lộ PayPal.me để tạo điều kiện thanh toán nhanh hơn. Tuy nhiên,PayPal.me có thể bị khai thác. Florian đã có thể chỉnh sửa và thậm chí xóa mã thông báo CSRF do đó cập nhật ảnh hồ sơ của người dùng. Vì nólà, bất cứ ai có thể giả mạo người khác bằng cách lấy hình ảnh trực tuyến của họ nói ví dụ từ Facebook.(số 8)

Bài học: (số 8)

  • > sử dụng thẻ CSRF duy nhất cho người dùng - những điều này phải là duy nhất và thay đổi bất cứ khi nào người dùng đăng nhập
  • > mã mỗi yêu cầu - khác với điểm trên đây, các thẻ này cũng phải được cung cấpkhi người dùng yêu cầu cho họ. Nó cung cấp bảo vệ bổ sung.
  • > time out - làm giảm tính dễ bị tổn thương nếu tài khoản vẫn không hoạt động trong một khoảng thời gian

Trường hợp thứ ba: Bộ Ngoại giao Nga đối mặt với một sự xáo trộn XSS

Trong khi hầu hết các cuộc tấn công trên web đều nhằm gây thiệt hại đến doanh thu, danh tiếng của tổ chức,và giao thông, một số có nghĩa là xấu hổ. Trường hợp điểm, các hack mà không bao giờ xảy ra ở Nga. Đây là những gì đã xảy ra: một hacker người Mỹ(biệt danh là Jester) đã khai thác tính dễ bị tổn thương của trang chéo (XSS) mà ông đã thấy trên trang web của Bộ Ngoại giao Nga. Cáchềer đã tạo ra một trang web giả mà bắt chước triển vọng của trang web chính thức ngoại trừ tiêu đề, mà ông đã tùy chỉnh để tạo ra mộtsự nhạo báng của họ.(số 8)

Bài học: (số 8)

  • > sanitize đánh dấu HTML
  • > không chèn dữ liệu trừ khi bạn xác minh nó
  • > sử dụng thoát JavaScript trước khi bạn nhập dữ liệu không đáng tin cậy vào các giá trị dữ liệu (JavaScript) của ngôn ngữ
  • > che chắn mình khỏi lỗ hổng XSS dựa trên DOM
November 28, 2017
Ba Bài học Bảo mật Ứng dụng Web Để Giữ trong Tâm trí. Semalt Expert Biết Làm thế nào để Tránh trở thành Nạn Nhân của tội phạm Cyber
Reply