Tiga Pelajaran Keselamatan Aplikasi Web yang Perlu Diingat. Pakar Semalt Mengetahui Bagaimana Mengelakkan Menjadi Mangsa Penjenayah Siber

Pada tahun 2015, Institut Ponemon mengeluarkan temuan dari sebuah kajian "Cost of Cyber Crime", yang telah mereka lakukan. Tidak mengejutkan bahawa kos jenayah siber meningkat. Namun, angka itu tergagap. Projek Cybersecurity Ventures (konglomerat global) yang kosnya akan mencecah $ 6 trilion setahun. Rata-rata, organisasi memerlukan 31 hari untuk bangkit semula setelah melakukan jenayah siber dengan kos pemulihan sekitar $ 639 500.

Adakah anda tahu bahawa penolakan perkhidmatan (serangan DDOS), pelanggaran berdasarkan web dan orang dalam yang berniat jahat merangkumi 55% daripada semua kos jenayah siber? Ini bukan sahaja menimbulkan ancaman terhadap data anda tetapi juga dapat membuat anda kehilangan pendapatan.

Frank Abagnale, Pengurus Kejayaan Pelanggan Perkhidmatan Digital Semalt , menawarkan untuk mempertimbangkan tiga kes pelanggaran berikut yang dibuat pada tahun 2016.

Kes pertama: Mossack-Fonseca (The Panama Papers)

Skandal Panama Papers menjadi perhatian utama pada tahun 2015, tetapi kerana berjuta-juta dokumen yang harus diserahkan, ia diletupkan pada tahun 2016. Kebocoran itu menunjukkan bagaimana ahli politik, ahli perniagaan kaya, selebriti dan creme de la creme masyarakat disimpan wang mereka dalam akaun luar pesisir. Selalunya, ini tidak jelas dan melintasi garis etika. Walaupun Mossack-Fonseca adalah organisasi yang mengkhususkan diri dalam kerahsiaan, strategi keselamatan maklumatnya hampir tidak ada. Sebagai permulaan, plugin slaid gambar WordPress yang mereka gunakan sudah lapuk. Kedua, mereka menggunakan Drupal berusia 3 tahun dengan kelemahan yang diketahui. Anehnya, pentadbir sistem organisasi tidak pernah menyelesaikan masalah ini.

Pengajaran:

  • > sentiasa memastikan bahawa platform, plugin dan tema CMS anda sentiasa dikemas kini.
  • > dapatkan maklumat terkini mengenai ancaman keselamatan CMS terkini. Joomla, Drupal, WordPress dan perkhidmatan lain mempunyai pangkalan data untuk ini.
  • > imbas semua pemalam sebelum anda melaksanakan dan mengaktifkannya

Kes kedua: Gambar profil PayPal

Florian Courtial (jurutera perisian Perancis) menemui kerentanan CSRF (pemalsuan permintaan lintas tapak) di laman web PayPal yang lebih baru, PayPal.me. Gergasi pembayaran dalam talian global melancarkan PayPal.me untuk memudahkan pembayaran lebih cepat. Walau bagaimanapun, PayPal.me dapat dieksploitasi. Florian dapat mengedit dan bahkan mengeluarkan token CSRF sehingga mengemas kini gambar profil pengguna. Seperti yang ada, siapa pun boleh menyamar sebagai orang lain dengan mendapatkan gambar mereka secara dalam talian misalnya dari Facebook.

Pengajaran:

  • > dapatkan token CSRF yang unik untuk pengguna - ini harus unik dan berubah setiap kali pengguna log masuk.
  • > token setiap permintaan - selain dari titik di atas, token ini juga harus disediakan semasa pengguna meminta mereka. Ia memberikan perlindungan tambahan.
  • > time out - mengurangkan kerentanan jika akaun tetap tidak aktif untuk beberapa waktu.

Kes ketiga: Kementerian Hal Ehwal Luar Negeri Rusia Menghadapi Malu XSS

Walaupun sebagian besar serangan web dimaksudkan untuk merusak pendapatan, reputasi, dan lalu lintas organisasi, beberapa dimaksudkan untuk memalukan. Contohnya, peretasan yang tidak pernah berlaku di Rusia. Inilah yang berlaku: seorang penggodam Amerika (dijuluki Jester) mengeksploitasi kerentanan cross-scripting (XSS) yang dilihatnya di laman web kementerian Luar Negeri Rusia. Pelawak itu membuat laman web palsu yang meniru pandangan laman web rasmi kecuali tajuk utama, yang dia sesuaikan untuk mengejek mereka.

Pengajaran:

  • > membersihkan tanda HTML
  • > jangan masukkan data melainkan anda mengesahkannya
  • > gunakan pelarian JavaScript sebelum anda memasukkan data yang tidak dipercaya dalam nilai data (JavaScript) bahasa
  • > melindungi diri anda dari kerentanan XSS berdasarkan DOM

send email