سه درس امنیتی برنامه کاربردی وب برای حفظ ذهنیت. کارشناس سامسونگ می داند که چگونه از تبدیل شدن به یک قربانی مجرمان سایبر جلوگیری می کند

در سال 2015 ، مؤسسه Ponemon یافته هایی از مطالعه "هزینه جرایم سایبری" را ، که آنها انجام داده بودند ، منتشر کرد. جای تعجب نبود که هزینه جرایم سایبری در حال افزایش است. با این حال ، این آمار لکنت زبان بود. سرمایه گذاری های فضای مجازی (کنگلومرای جهانی) پروژه هایی را نشان می دهد که این هزینه در سال به 6 تریلیون دلار خواهد رسید. به طور متوسط ، یک سازمان 31 روز طول می کشد تا پس از یک جرم سایبری با هزینه ترمیم در حدود 639 500 دلار گزاف گویی کند.

آیا می دانید که انکار سرویس (حملات DDOS) ، تخلفات مبتنی بر وب و خودی های مخرب 55٪ از کل هزینه های جرایم سایبری را تشکیل می دهند؟ این نه تنها تهدیدی برای داده های شما محسوب می شود بلکه می تواند باعث از دست رفتن درآمد شود.

Frank Abagnale ، مدیر موفقیت مشتری خدمات دیجیتال سامسونگ ، پیشنهاد می کند سه مورد زیر از موارد نقض شده در سال 2016 را در نظر بگیرد.

پرونده اول: Mossack-Fonseca (مقالات پاناما)

رسوایی Panama Papers در سال 2015 در کانون توجه قرار گرفت ، اما به دلیل میلیون ها سندی که باید از طریق آن سیراب شود ، در سال 2016 منفجر شد. پول آنها در حسابهای خارج از کشور اغلب ، این سایه بود و از خط اخلاقی عبور می کرد. اگرچه موساک-فونسکا سازمانی بود که در زمینه رازداری تخصص داشت ، اما استراتژی امنیت اطلاعات آن تقریباً وجود نداشت. برای شروع ، افزونه اسلاید تصویر وردپرس مورد استفاده قدیمی و قدیمی بود. ثانیا ، آنها از دروپال 3 ساله با آسیب پذیریهای شناخته شده استفاده کردند. جای تعجب است که مدیران سیستم سازمان هرگز این مسائل را برطرف نمی کنند.

درس ها:

  • > همیشه اطمینان حاصل کنید که سیستم عامل ها ، افزونه ها و مضامین CMS شما به طور مرتب به روز می شوند.
  • > با آخرین تهدیدات امنیتی CMS به روز شوید. جوملا ، دروپال ، وردپرس و سایر سرویس ها برای این کار پایگاه داده دارند.
  • > قبل از اجرای همه افزونه ها را اسکن کرده و آنها را فعال کنید

مورد دوم: تصویر نمایه پی پال

Florian Courtial (یک مهندس نرم افزار فرانسوی) آسیب پذیری CSRF (جعل درخواست درخواست سایت) را در سایت جدید PayPal ، یعنی PayPal.me پیدا کرد. غول جهانی پرداخت آنلاین از PayPal.me رونمایی کرد تا سریعتر پرداخت را تسهیل کند. با این حال ، PayPal.me می تواند مورد سوء استفاده قرار گیرد. فلورین قادر به ویرایش و حتی حذف نشانه CSRF بود و بدین ترتیب تصویر پروفایل کاربر را به روز می کند. به طور کلی ، هر کسی می توانست با گرفتن تصویر آنلاین خود ، مثلاً از فیس بوک ، شخص دیگری را جعل کند.

درس ها:

  • > از نشانه های CSRF بی نظیر برای کاربران استفاده کنید - این موارد باید منحصر به فرد باشند و هر زمان کاربر وارد سیستم شود ، تغییر کنند.
  • > نشانه در هر درخواست - به غیر از نکته فوق ، این نشان ها باید هنگام درخواست کاربر از آنها نیز تهیه شود. این محافظت اضافی را ارائه می دهد.
  • > زمان بندی کردن - اگر حساب برای مدتی غیرفعال بماند ، آسیب پذیری را کاهش می دهد.

مورد سوم: وزارت امور خارجه روسیه با خجالت XSS روبرو است

در حالی که بیشتر حملات وب به معنای ویران کردن درآمد ، شهرت و ترافیک سازمان است ، برخی از آنها شرم آور هستند. مورد در مورد ، هک که هرگز در روسیه اتفاق نیفتاده است. این اتفاقی است که افتاده است: یک هکر آمریکایی (با نام مستعار جستر) از آسیب پذیری سایت ضربدر (XSS) که وی در وب سایت وزارت امور خارجه روسیه دید ، سوءاستفاده کرد. جاستر یک وب سایت ساختگی ایجاد کرد که چشم انداز وب سایت رسمی را به جز تیتر تقلید می کرد ، که وی برای ساختن مسخره از آنها سفارشی کرد.

درس ها:

  • > نشانه گذاری HTML را ضدعفونی کنید
  • > داده ها را وارد نکنید مگر اینکه آن را تأیید کنید
  • > قبل از وارد کردن داده های غیرقابل اعتماد در مقادیر داده زبان (JavaScript) از فرار JavaScript استفاده کنید
  • > خود را از آسیب پذیری های XSS مبتنی بر DOM محافظت کنید

mass gmail