Yodda tutish uchun uchta veb-dastur xavfsizligi darslari. Semalt mutaxassisi kiber jinoyatchilar qurboni bo'lishdan qanday qochish kerakligini biladi

2015 yilda Ponemon Instituti ular o'tkazgan "Kiber jinoyatlarning narxi" tadqiqotining natijalarini e'lon qildi. Kiber jinoyatlarning narxi oshib borishi ajablanarli emas edi. Biroq, raqamlar jirkanch edi. Cyberecurity Ventures (global konglomerat) loyihalari yiliga 6 trln dollarga tushadi. O'rtacha hisobda, kiber-jinoyatdan keyin orqaga qaytish uchun 31 kun kerak bo'ladi, tuzatish qiymati taxminan 639 500 dollarni tashkil etadi.

Xizmatdan voz kechish (DDOS hujumlari), veb-saytlardagi buzilishlar va zararli insayderlar kiber jinoyatlar uchun 55% xarajatlarni tashkil etishini bilasizmi? Bu nafaqat ma'lumotlaringizga xavf tug'diradi, balki daromadingizni yo'qotishiga ham olib kelishi mumkin.

Frank Abagnale, Semalt Digital Services-ning mijozlar muvaffaqiyati bo'yicha menejeri, 2016 yilda quyidagi uchta buzilish holatlarini ko'rib chiqishni taklif qiladi.

Birinchi holat: Mossack-Fonseca (Panama hujjatlari)

2015 yilda Panama Paskadagi janjal diqqat markaziga tushdi, ammo tekshirilishi kerak bo'lgan millionlab hujjatlar tufayli, 2016 yilda u portlab ketdi. Noqonuniylik siyosatchilar, badavlat biznesmenlar, taniqli shaxslar va jamiyatning krem-kremini qanday saqlashini aniqladi. ularning pullari ofshor hisoblaridagi. Ko'pincha, bu soyali edi va axloqiy chiziqni kesib o'tdi. Mossack-Fonseca maxfiylikka ixtisoslashgan tashkilot bo'lsa-da, uning axborot xavfsizligi strategiyasi deyarli mavjud emas edi. Avvaliga ular ishlatgan WordPress rasm slayd plaginlari eskirgan edi. Ikkinchidan, ular ma'lum zaifliklarga ega bo'lgan 3 yoshli Drupaldan foydalanishgan. Ajablanarlisi shundaki, tashkilotning tizim ma'murlari hech qachon ushbu muammolarni hal qilmaydi.

Darslar:

  • > har doim CMS platformalaringiz, plaginlaringiz va mavzularingiz muntazam yangilanib turishini ta'minlang.
  • > so'nggi CMS xavfsizlik tahdidlari bilan yangilanib turing. Joomla, Drupal, WordPress va boshqa xizmatlar buning uchun ma'lumotlar bazalariga ega.
  • > barcha plaginlarni o'rnatmasdan oldin ularni tekshirib chiqing

Ikkinchi holat: PayPal-ning profil rasmi

Florian Courtial (frantsuz dasturiy ta'minot muhandisi) PayPalning yangi sayti - PayPal.me-da CSRF (saytni soxtalashtirishni soxtalashtirish) zaifligini aniqladi. To'lovlarni tezlashtirish uchun global onlayn to'lov giganti PayPal.me-ni taqdim etdi. Biroq, PayPal.me-dan foydalanish mumkin. Florian foydalanuvchining profil rasmini yangilash orqali CSRF tokenini tahrirlash va hatto o'chirishga muvaffaq bo'ldi. Har qanday odam, masalan, Facebook-dan rasmlarini Internet orqali olish orqali boshqa birovning nomidan ish qilishi mumkin edi.

Darslar:

  • > foydalanuvchilar uchun noyob CSRF tokenlaridan foydalaning - ular noyob bo'lishi kerak va foydalanuvchi kirganda har doim o'zgarishi kerak.
  • > har bir so'rov uchun token - yuqoridagi banddan tashqari, ushbu tokenlar foydalanuvchi ularni so'raganida mavjud bo'lishi kerak. Qo'shimcha himoya ta'minlaydi.
  • > vaqtni tugatish - agar hisob bir muncha vaqt harakatsiz bo'lsa, zaiflikni kamaytiradi.

Uchinchi holat: Rossiya tashqi ishlar vazirligi XSSni noqulay ahvolga solmoqda

Aksariyat veb-xurujlar tashkilotning daromadiga, obro'siga va trafikiga zarar etkazish uchun mo'ljallangan bo'lsa-da, ba'zilari sharmanda qilmoqchi. Aytaylik, Rossiyada hech qachon bunday xakerlik bo'lmagan. Bu shunday bo'ldi: Amerikalik xaker (Jester laqabi bilan) Rossiya tashqi ishlar vazirligi veb-saytida ko'rgan saytlar skriptining (XSS) zaifligidan foydalandi. O'qituvchi rasmiy veb-saytning tashqi ko'rinishiga taqlid qilib, ularni masxara qilishni odat qilgan sarlavhadan tashqari, veb-sayt yaratdi.

Darslar:

  • > HTML belgilagichlarini tozalash
  • > tasdiqlamaguningizcha ma'lumotlarni kiritmang
  • > tilning (JavaScript) ma'lumot qiymatlariga ishonchsiz ma'lumotlarni kiritishdan oldin JavaScript qochishidan foydalaning
  • > o'zingizni DOM-ga asoslangan XSS zaifliklaridan himoya qiling

mass gmail