Back to Question Center
0

Ақылда ұстау үшін үш веб-бағдарлама қауіпсіздігі сабағы. Semalt Expert кибер қылмыскерлердің құрбаны болудан қалай аулақ болатынын біледі

1 answers:

2015 жылы Понемон Институты «Киберқылмыспен күрес» зерттеуінен алынған нәтижелерді шығарды,олар өткізді. Киберқылмыстың құнын арттырудың таңқаларлығы жоқ еді. Дегенмен, сандар кептеліп жатты.Cybersecurity Ventures (жаһандық конгломерат) жобалары жылына 6 триллион долларға жетеді. Орташа алғанда, ол ұйымды талап етеді31 күн ішінде киберқылмыс жасағаннан кейін қалпына келтіру құны 639 500 АҚШ долларын құраған.

Қызмет көрсетуден бас тарту (DDOS шабуылдары), веб-негізделген бұзушылықтар және зиянды екенін білдіңіз бе?инсайдерлер киберқылмыскерлердің барлық шығындарының 55% құрайды? Бұл сіздің деректеріңізге қауіп төндіріп қана қоймайды, сонымен қатар табысыңыздан айырылады.

Frank Abagnale, Тапсырыс берушінің табысты менеджері Семалт Digital Services компаниясы 2016 жылы жасалған үш бұзушылық жағдайын қарастырады.

Бірінші оқиға: Моцак-Фонсека (Панама құжаттары)

Панама құжаттарының даусы 2015 жылы назар аударды, бірақ сол себептімиллиондаған құжаттар 2016 жылы жарыққа шығады. Саясаткерлер, бай бизнесмендер,атақты адамдар мен қоғамның крем-дель-кремі өз ақшаларын оффшорлық шоттарда сақтайды. Көбінесе бұл көлеңкелі болды және этикалық сипатта болдытүзу. Mossack-Fonseca құпиялылыққа маманданған ұйым болғанымен, оның ақпараттық қауіпсіздік стратегиясы іс жүзінде болмады.Бастапқыда олар қолданған WordPress слайд плагині ескірген. Екіншіден, олар 3 жастағы Drupal-ды белгілі осалдықтармен пайдаланды.Таң қаларлықтай, ұйымның жүйелік әкімшілері бұл мәселелерді ешқашан шешпейді.

Сабақтар:

  • > әрдайым CMS платформаларының, плагиндер мен тақырыптардың үнемі жаңартылуын қамтамасыз етеді..
  • > соңғы CMS қауіпсіздік қатерлерімен жаңартылады. Joomla, Drupal, WordPress және басқаларБұл қызметтер үшін дерекқорлар бар
  • > барлық плагиндерді іске қоспастан бұрын іске қосыңыз

Екінші оқиға: PayPal's profile picture

Флориан Корнали (француздық бағдарламалық инженер) CSRF-ті тапты (кросс-сайт сұранысының жасандылығы)PayPal компаниясының жаңа сайтында, PayPal.me сайтындағы осалдық. Жаһандық онлайн төлемдік алыбы PayPal.me жылдам төлемдерді жеңілдету үшін жариялады. Алайда,PayPal.me қолданылуы мүмкін. Флориан CSRF таңбалауышын өңдеп, тіпті жойды, осылайша пайдаланушының профиль суретін жаңартты. Бұл қалай?кез-келген адам Facebook-тан суреттерді онлайн-суретке түсіріп, басқа біреуді елестетуі мүмкін еді.

Сабақтар:

  • > пайдаланушылар үшін бірегей CSRF белгілерін қолданады - олар бірегей болуы және пайдаланушы кірген кезде өзгеруі
  • > таңбалауышы - жоғарыдағы пункттен басқа, бұл таңбалауыштар да қол жетімді болуы керекегер олар пайдаланушы сұрайды. Ол қосымша қорғауды қамтамасыз етеді.
  • > уақытты есептеу - шот біраз уақыт белсенді болмаған жағдайда осалдығын азайтады

Үшінші оқиға: Ресей Сыртқы істер министрлігі XSS-нің қолайсыздығына тап болды

Көптеген веб-шабуылдар ұйымның кірісіне, беделіне,және трафик, кейбіреулері ыңғайсыздықты тудырады. Шамасы, Ресейде ешқашан болған емес. Бұл оқиға: американдық хакер(«Юстер» деген лақап) Ресейдің Сыртқы істер министрлігінің веб-сайтында көрген кросс-сайт сценарийін (XSS) осалдығын пайдаланған. Theвеб-сайтты ресми веб-сайттың көзқарасын ұстанатын веб-сайт құрды, ол ол тақырыптыоларды масқаралау.

Сабақтар:

  • > HTML түзетуді сауықтырыңыз
  • > тексермейінше деректерді енгізбеңіз
  • > тілдегі (JavaScript) деректердің мәндеріне сенімсіз деректерді енгізбес бұрын JavaScript пайдалану
  • > XSS осалдықтары негізінде DOM-ден өзін қорғайды
November 28, 2017
Ақылда ұстау үшін үш веб-бағдарлама қауіпсіздігі сабағы. Semalt Expert кибер қылмыскерлердің құрбаны болудан қалай аулақ болатынын біледі
Reply