Три лекции за безбедност на веб-апликации кои треба да ги имате предвид. Експерт за Semalt знае како да избегне да станете жртва на компјутерски криминалци

Во 2015 година, Институтот Пономон објави наоди од студијата „Цена на компјутерски криминал“, што ја спроведоа. Не изненадува што трошоците за компјутерски криминал се зголемуваат. Сепак, бројките пелтечеа. Вложувања во областа на компјутерската безбедност (глобален конгломерат) проекти кои оваа цена ќе достигнат 6 трилиони американски долари годишно. Во просек, на организацијата му се потребни 31 дена за да се повлече од интернет-криминалот со цена за санација на околу 639 500 американски долари.

Дали знаевте дека негирањето на услугата (напади на ДДОС), прекршувања на Интернет и злонамерни инсајдери сочинуваат 55% од сите трошоци за компјутерски криминал? Ова не само што претставува закана за вашите податоци, но исто така може да ве натера да изгубите приходи.

Френк Абањале, Менаџер за успех на клиентите на „ Дигитални услуги на Семсул“ , нуди да ги разгледа следниве три случаи на прекршувања направени во 2016 година.

Прв случај: Мозак-Фонсека (Панама документи)

Скандалот „Панама Паперс“ пропадна во центарот на вниманието во 2015 година, но поради милиони документи што требаше да се проследат, беше разнесено во 2016 година. Протекот откри како се чуваат политичарите, богатите бизнисмени, славните и кремот де ла крем на општеството нивните пари во оф-шор сметки. Честопати, ова беше сенка и ја минуваше етичката линија. Иако Мосак-Фонсека беше организација специјализирана за тајност, нејзината стратегија за безбедност на информациите беше скоро непостоечка. За почеток, додатокот за слајд на сликата WordPress што го користеа беше застарен. Второ, тие користеле 3-годишен Друпал со познати слабости. Изненадувачки, администраторите на системот на организацијата никогаш не ги решаваат овие проблеми.

Лекции:

• > секогаш осигурајте се дека вашите платформи CMS, приклучоци и теми редовно се ажурираат.
• > останете ажурирани со најновите безбедносни закани за СМС. Joomla, Drupal, WordPress и други услуги имаат бази на податоци за ова.
• > скенирајте ги сите додатоци пред да ги имплементирате и активирате

Втор случај: Сликата на профилот на PayPal

Флоријан суд (француски инженер за софтвер) откри ранливост на CSRF (фалсификат за крос-страници) во поновата страница на PayPal, PayPal.me. Глобалниот гигант за плаќање преку Интернет го претстави PayPal.me за да се олеснат побрзите плаќања. Сепак, PayPal.me може да се искористи. Флоријан беше во можност да го уреди, па дури и го отстрани знакот CSRF со што ја ажурираше сликата на профилот на корисникот. Како што беше, секој можеше да заштити некој друг со тоа што нивната слика преку Интернет ќе ја каже на пример од Фејсбук.

Лекции:

• > искористете уникатни CSRF токени за корисниците - тие треба да бидат единствени и да се менуваат секогаш кога корисникот се најавува.
• > токен по барање - освен точката погоре, овие токени треба да бидат достапни и кога корисникот ќе побара за нив. Обезбедува дополнителна заштита.
• > тајминг - ја намалува ранливоста ако сметката остане неактивна некое време.

Трет случај: Руското Министерство за надворешни работи се соочува со срам за XSS

Додека повеќето веб-напади имаат за цел да предизвикаат нарушување на приходите, угледот и сообраќајот на една организација, некои имаат за цел да се посрамат. Случај во случајот, хакер што никогаш не се случил во Русија. Ова е она што се случи: еден американски хакер (наречен естер) ја искористи ранливоста на крос-страниците (XSS) што ја виде на веб-страницата на Министерството за надворешни работи на Русија. Jестер создаде веб-страница на глупости што го имитираше изгледот на официјалната веб-страница, освен за насловот, кој го прилагоди за да направи исмејување на нив.

Лекции:

• > канализирајте го означувањето на HTML
• > не вметнувајте податоци освен ако не ги потврдите
• > користете бегство од JavaScript пред да внесете неверодостојни податоци во вредностите на податоци на јазикот (JavaScript)
• > заштити се од слабостите врз основа на ДОМ