Back to Question Center
0

Hiru Web aplikazioa segurtasun ikasgaiak kontuan hartzea. Semalt adituak jakitea nola saihestu kriminala zibilen biktima izatea

1 answers:

2015ean, Ponemon Institute-k "Zerga krimenaren kostua" azterketaren emaitzak argitaratu zituen.egin zituzten. Ez zen harritzekoa ziberkrimenaren kostua handitzen ari zela. Hala eta guztiz ere, zifrak izan ziren stuttering.Ciberseguridad Ventures (global konglomeratua) proiektuek kostu hori $ 6 bilioi urtean hit egingo dute. Batez beste, erakunde bat hartzen du31 egun errebote krimenaren ostean, 639.500 dolarreko berreskurapen kostua.

Ba al zenekien zerbitzua ukatzea (DDOS erasoak), web-oinarritutako urratzeak eta kaltegarriak?Insiders osatzen dute delitu zibernetiko guztien% 55? Horrek ez du zure datuen mehatxurik sortzen, baizik eta sarrerak galduko dituzu.

Frank Abagnale, Customer Success Manager of Semalt Zerbitzu Digitalak 2016an egindako hiru kasu hauei buruzko hausnarketak eskaintzen ditu.

Lehenengo kasua: Mossack-Fonseca (Panama Papers)

Panamako Papers eskandalua 2015. urtean estreinatu zen, baina horren ondoriozmilioika dokumentu behar izan zituen, 2016an piztu zen. Leak agerian utzi zuen nola politikariek, negozio aberatsek,ospetsuek eta gizartearen kremaren kremak offshore kontuen dirua gordetzen dute. Sarritan, hau lotsatia zen eta etika zeharkatu zuenline. Mossack-Fonseca sekreturean espezializatutako erakunde bat izan arren, informazioaren segurtasun estrategia ia ez zen existitzen.Hasiera batean WordPress irudiaren diapositiba plugina erabiltzen zuten zaharkituta zegoen. Bigarrenik, 3 urteko Drupal bat erabili zuten ahultasun ezagunak.Harrigarria bada ere, erakundeen sistemako administratzaileek inoiz ez dituzte arazo horiek konpondu.

Klaseak:

  • > ziurtatu beti zure CMS plataformak, pluginak eta gaiak eguneratzen direla..
  • > mantendu eguneratuta CMS segurtasun mehatxuak azken. Joomla, Drupal, WordPress eta besteZerbitzuek honetarako datu-baseak dituzte
  • .
  • > inplementatu eta aktibatu aurretik plugin guztiak eskaneatu

Bigarren kasua: PayPalen profileko argazkia

Florian Courtialek (software ingeniari frantsesak) CSRF bat aurkitu zuen (gune gurutzatuen eskaera faltsutzea)PayPal-en gune berriagoan zaurgarritasuna, PayPal.me. Lineako ordainketa erraldoi orokorrak PayPal.me aurkeztu ditu ordainketa azkarragoak errazteko. Hala ere,PayPal.me ustia daiteke. Florian CSRF token-a editatu eta kendu egin zen, horrela erabiltzaile-profileko argazkia eguneratu zen. Dena denizan zen, inor norbaitek norberaren irudia imajinatu zezakeen bere irudia internet bidez esateko adibidez, Facebook-etik.

Klaseak:

  • > erabilgarri dauden CSRF token erabilgarriak dira. Hauek bakarrak izan behar dute eta erabiltzaileek saioa hastean aldatzen dute.
  • > eskaera bakoitzeko tokena - goiko puntuaz gain, token horiek ere eskuragarri egongo diraErabiltzaileak hala eskatzen duenean. Babes gehiago ematen du.
  • > denbora-muga - ahultasuna murrizten du kontua denbora pixka bat aktibo egon ezean.

Hirugarren kasua: Errusiako Atzerri Arazoetako Ministerioak XSS Abarkadurari aurre egiten dio

Web eraso gehienek erakunde baten diru sarrerak, ospea,eta trafikoa, batzuk nahigabeak dira. Kasuan kasu, Errusia inoiz gertatu ez den hack. Hau gertatu da: American hacker(Jester goitizena) Cross-site scripting (XSS) ahultasunaz baliatu zuen Errusiako Atzerri Arazoetako ministerioaren webgunean ikusi zuen. TheJesterrek web orri ofizialaren aurreikuspenak imitatu zituen webgune faltsu bat sortu zuen, titularra izan ezik;horietako burugabekeria.

Klaseak:

  • > markatu HTML markatzea
  • > ez sartu datuak egiaztatzen ezean
  • > erabili JavaScript ihes fidagarritasunik gabeko datuak sartzen dituzunean hizkuntza (JavaScript) datuen balioak
  • > ezkutatu DOM oinarritutako XSS ahultasunetik
November 28, 2017
Hiru Web aplikazioa segurtasun ikasgaiak kontuan hartzea. Semalt adituak jakitea nola saihestu kriminala zibilen biktima izatea
Reply