Есте сақтау үшін веб-қосымшалардың қауіпсіздігі туралы үш сабақ. Semalt сарапшысы киберқылмыскердің құрбанына айналудың алдын-алуды біледі

2015 жылы Понемон институты өздері жүргізген «Киберқылмыстық қылмыстың құны» атты зерттеу нәтижелерін жариялады. Киберқылмыс құны қымбаттап бара жатқаны таңқаларлық емес еді. Алайда, сандар қыңыр болды. Бұл құны жылына 6 трлн долларға жететін киберқауіпсіздік кәсіпорындары (ғаламдық конгломерат). Орта есеппен алғанда, киберқылмыс жасағаннан кейін қалпына келтіру құны шамамен 639 500 долларды құрайтын 31 күн қажет.

Сіз қызмет көрсетуден бас тартуды (DDOS шабуылдары), веб-сайттағы бұзушылықтар мен зиянды инсайдерлер киберқылмыскерлердің барлық шығындарының 55% құрайтынын білдіңіз бе? Бұл сіздің деректеріңізге қауіп төндіріп қана қоймай, кірісті жоғалтуыңыз мүмкін.

Фрэнк Абагнейл , Semalt Digital Services клиенттерінің сәттілік менеджері, 2016 жылы жасалған үш бұзушылық жағдайларын қарастыруды ұсынады.

Бірінші жағдай: Моссак-Фонсека (Панама құжаттары)

Панама қағаздарындағы жанжал 2015 жылы назарда болды, бірақ оны тексеріп алу керек болған миллиондаған құжаттарға байланысты 2016 жылы ол жарылды. Бұл ағып кету саясаткерлердің, бай бизнесмендердің, атақты адамдар мен қоғамның крем-де-кремінің қалай сақталатынын анықтады. олардың оффшорлық шоттардағы ақшалары. Көбінесе бұл көлеңкелі болды және этикалық сызықты кесіп өтті. Mossack-Fonseca құпиялылыққа мамандандырылған ұйым болғанымен, оның ақпараттық қауіпсіздік стратегиясы іс жүзінде жоқ болып шықты. Бастапқыда олар қолданған WordPress кескін слайдының плагині ескірген. Екіншіден, олар белгілі осалдықтары бар 3 жастағы Друпалды қолданды. Бір таңқаларлығы, ұйымның жүйелік әкімшілері бұл мәселелерді ешқашан шешпейді.

Дәрістер:

  • > әрқашан сіздің CMS платформаларыңыз, плагиндеріңіз бен тақырыптарыңыз үнемі жаңартылып отыруын қамтамасыз етіңіз.
  • > CMS қауіпсіздігінің соңғы қатерлерімен жаңартылып отырыңыз. Joomla, Drupal, WordPress және басқа сервистерде бұл үшін мәліметтер базасы бар.
  • > іске қоспас бұрын барлық плагиндерді қарап шығыңыз

Екінші жағдай: PayPal профилінің суреті

Florian Courtial (француздық бағдарламалық жасақтама инженері) PayPal-дің жаңа сайты - PayPal.me-де CSRF (сайтты сұрау салуды жасыру) осалдығын тапты. Жаһандық ғаламтор-төлемдер алпауыты төлемдерді тездету үшін PayPal.me-ны ұсынды. Алайда, PayPal.me пайдалануға болады. Флориан пайдаланушының профиль суретін жаңарта отырып, CSRF таңбалауышын өңдеп, тіпті алып тастай алды. Бұл кез-келген адам, мысалы, Facebook-тен интернеттегі суреттерін алу арқылы біреуді еліктей алады.

Дәрістер:

  • пайдаланушылар үшін бірегей CSRF таңбалауыштарын пайдаланыңыз - олар бірегей болуы керек және пайдаланушы кірген кезде өзгеруі керек.
  • > сұранымға арналған таңбалауыш - жоғарыда айтылғандардан басқа, бұл таңбалауыштар қолданушы сұраған кезде қол жетімді болуы керек. Ол қосымша қорғауды қамтамасыз етеді.
  • > күту уақыты - егер шот біраз уақыт белсенді болмаса, осалдықты азайтады.

Үшінші жағдай: Ресей сыртқы істер министрлігі XSS-ті алаңдатады

Көптеген веб-шабуылдар ұйымның кірісіне, беделіне және трафигіне зиян келтіруге бағытталған болса, кейбіреулері ұялту үшін қолданылады. Мәселен, Ресейде бұрын-соңды болып көрмеген бұзақылық. Бұл былай болды: американдық хакер (Джестер лақап атымен аталады) Ресейдің сыртқы істер министрлігінің сайтында көрген сайттың сценарийінің (XSS) осалдығын пайдаланды. Секретер ресми веб-сайттың дүниетанымына сай келмейтін мылжыңды веб-сайт жасады, ол оларды масқаралайтын етіп шығарды.

Дәрістер:

  • HTML белгілеуді тазарту
  • Егер сіз оны тексермесеңіз, деректерді салмаңыз
  • тілдің (JavaScript) деректер мәніне сенімсіз деректерді енгізбес бұрын JavaScript қашықтығын қолданыңыз
  • > өзіңізді DOM негізделген XSS осалдықтарынан қорғаңыз

mass gmail