Три урока по безопасности веб-приложений. Семальт Эксперт знает, как не стать жертвой киберпреступников

В 2015 году Институт Понемона опубликовал результаты исследования «Стоимость киберпреступности», которое они провели. Неудивительно, что цена киберпреступности растет. Однако цифры заикались. Cybersecurity Ventures (глобальный конгломерат) прогнозирует, что эта стоимость составит 6 триллионов долларов в год. В среднем организации требуется 31 день, чтобы прийти в себя после киберпреступления со стоимостью исправления около 639 500 долларов.

Знаете ли вы, что отказ в обслуживании (DDOS-атаки), веб-нарушения и злонамеренные инсайдеры составляют 55% всех затрат на киберпреступность? Это не только создает угрозу вашим данным, но и может привести к потере дохода.

Франк Абаннал, менеджер по работе с клиентами Semalt Digital Services, предлагает рассмотреть следующие три случая нарушений, совершенных в 2016 году.

Первый случай: Моссак-Фонсека («Панамские бумаги»)

В 2015 году в центре внимания оказался скандал с «Панамскими бумагами», но из-за миллионов документов, которые нужно было просеять, он был взорван в 2016 году. Утечка показала, как хранились политики, состоятельные бизнесмены, знаменитости и крем-де-ла-крем. их деньги на оффшорных счетах. Часто это было тенистым и пересекало этическую черту. Хотя Mossack-Fonseca была организацией, которая специализировалась на секретности, ее стратегии информационной безопасности почти не существовало. Для начала плагин WordPress для слайдов изображений, который они использовали, был устаревшим. Во-вторых, они использовали 3-летнего Drupal с известными уязвимостями. Удивительно, но системные администраторы организации никогда не решают эти проблемы.

Уроки:

  • > всегда проверяйте, чтобы ваши платформы CMS, плагины и темы регулярно обновлялись.
  • > оставаться в курсе последних угроз безопасности CMS. У Joomla, Drupal, WordPress и других сервисов есть базы данных для этого.
  • > сканировать все плагины, прежде чем внедрять и активировать их

Второй случай: изображение профиля PayPal

Флориан Куртиаль (французский разработчик программного обеспечения) обнаружил уязвимость CSRF (подделка межсайтовых запросов) в новом сайте PayPal, PayPal.me. Глобальный гигант онлайн-платежей представил PayPal.me для ускорения платежей. Тем не менее, PayPal.me может быть использован. Флориану удалось отредактировать и даже удалить токен CSRF, тем самым обновив фотографию профиля пользователя. Как бы то ни было, любой мог выдать себя за кого-то другого, разместив свою фотографию в Интернете, например, из Facebook.

Уроки:

  • > использовать уникальные токены CSRF для пользователей - они должны быть уникальными и изменяться при каждом входе пользователя в систему.
  • > токен на запрос - кроме пункта выше, эти токены также должны быть доступны, когда пользователь запрашивает их. Это обеспечивает дополнительную защиту.
  • > тайм-аут - уменьшает уязвимость, если учетная запись остается неактивной в течение некоторого времени.

Третий случай: МИД России стоит перед смущением XSS

В то время как большинство веб-атак должны нанести ущерб доходам, репутации и трафику организации, некоторые предназначены для того, чтобы смущать. Например, взлом, которого никогда не было в России. Вот что произошло: американский хакер (по прозвищу Шут) использовал уязвимость межсайтового скриптинга (XSS), которую он увидел на сайте Министерства иностранных дел России. Шут создал фиктивный веб-сайт, который имитировал внешний вид официального сайта, за исключением заголовка, который он настраивал, чтобы высмеивать их.

Уроки:

  • > очистить разметку HTML
  • > не вставляйте данные, если вы не проверите их
  • > использовать код JavaScript перед вводом ненадежных данных в значения данных языка (JavaScript)
  • > оградить себя от уязвимостей XSS на основе DOM

mass gmail