Tři lekce zabezpečení webových aplikací, které byste měli mít na paměti. Expert společnosti Semalt ví, jak zabránit tomu, aby se stal obětí počítačových zločinců

V roce 2015 vydal Ponemonův institut zjištění ze studie „Náklady na počítačovou kriminalitu“, kterou provedli. Nebylo překvapením, že náklady na počítačovou kriminalitu rostly. Čísla však koktaly. Projekty Cybersecurity Ventures (globální konglomerát) projekty, které tyto náklady dosáhnou 6 bilionů dolarů ročně. V průměru trvá 31 dní, než se organizace vrátí po kybernetickém zločinu s náklady na nápravu na zhruba 639 500 $.

Věděli jste, že odmítnutí služby (útoky DDOS), porušení na webu a škodlivé zasvěcenci tvoří 55% všech nákladů na počítačovou trestnou činnost? To nejenže představuje hrozbu pro vaše data, ale také vám může způsobit ztrátu příjmů.

Frank Abagnale, Customer Success Manager společnosti Semalt Digital Services, nabízí zvážit následující tři případy porušení, k nimž došlo v roce 2016.

První případ: Mossack-Fonseca (The Panama Papers)

Skandál Panama Papers se v roce 2015 dostal do centra pozornosti, ale kvůli milionům dokumentů, které musely projít, byl v roce 2016 foukán. Únik odhalil, jak se ukládají politici, bohatí podnikatelé, celebrity a creme de la creme společnosti jejich peníze na offshore účtech. Často to bylo stinné a překročilo etickou linii. Přestože Mossack-Fonseca byla organizací specializovanou na utajení, její strategie informační bezpečnosti téměř neexistovala. Pro začátek byl zásuvný modul obrázků ImagePress, který použili, zastaralý. Za druhé, použili tříletý Drupal se známými zranitelnostmi. Správci systému organizace překvapivě tyto problémy nikdy nevyřeší.

Lekce:

  • > vždy zajistěte, aby vaše platformy CMS, pluginy a motivy byly pravidelně aktualizovány.
  • > zůstaňte informováni o nejnovějších bezpečnostních hrozbách CMS. Joomla, Drupal, WordPress a další služby mají k tomu databáze.
  • > prohledejte všechny pluginy před jejich implementací a aktivací

Druhý případ: Profilový obrázek PayPal

Florian Courtial (francouzský softwarový inženýr) našel zranitelnost CSRF (padělání žádosti o více stránek) na novějších stránkách PayPal, PayPal.me. Globální online platební gigant odhalil PayPal.me, aby usnadnil rychlejší platby. Lze však využít PayPal.me. Florian byl schopen upravit a dokonce odstranit token CSRF, čímž aktualizoval obrázek profilu uživatele. Jakkoli to bylo, kdokoli jiný by mohl předstírat někoho jiného tím, že dostane svůj obrázek online, například z Facebooku.

Lekce:

  • > využívají jedinečné tokeny CSRF pro uživatele - tyto by měly být jedinečné a měly by se měnit vždy, když se uživatel přihlásí.
  • > token na žádost - kromě výše uvedeného bodu by tyto tokeny měly být k dispozici také, když o ně uživatel požádá. Poskytuje dodatečnou ochranu.
  • > vypršení časového limitu - snižuje zranitelnost, pokud je účet po nějakou dobu neaktivní.

Třetí případ: Ruské ministerstvo zahraničních věcí čelí rozpakům XSS

Zatímco většina webových útoků má za cíl vyvolat zmatek v příjmech, pověsti a provozu organizace, některé jsou v rozpacích. Příkladem je hack, který se v Rusku nikdy nestal. To se stalo: americký hacker (přezdívaný Jester) zneužil zranitelnost skriptování mezi weby (XSS), kterou viděl na webových stránkách ruského ministerstva zahraničních věcí. Šašek vytvořil fiktivní web, který napodoboval výhled na oficiální web s výjimkou nadpisu, který si přizpůsobil, aby z nich vysmíval.

Lekce:

  • > dezinfikujte značkování HTML
  • > nevkládejte data, dokud je neověříte
  • > použijte únik jazyka JavaScript před zadáním nedůvěryhodných dat do datových hodnot jazyka (JavaScript)
  • > ochraňte se před zranitelnostmi XSS založenými na DOM

mass gmail