บทเรียนความปลอดภัยเว็บแอปพลิเคชันสามประการที่ควรทราบ ผู้เชี่ยวชาญของ Semalt รู้วิธีหลีกเลี่ยงการตกเป็นเหยื่อของอาชญากรไซเบอร์

ในปี 2558 สถาบัน Ponemon เปิดตัวผลการวิจัยจากการศึกษา "ค่าใช้จ่ายของอาชญากรรมไซเบอร์" ซึ่งพวกเขาได้ดำเนินการ ไม่แปลกใจเลยที่ค่าใช้จ่ายของอาชญากรรมไซเบอร์เพิ่มขึ้น อย่างไรก็ตามตัวเลขที่พูดติดอ่าง Cybersecurity Ventures (กลุ่ม บริษัท ทั่วโลก) คาดการณ์ว่าค่าใช้จ่ายนี้จะสูงถึง $ 6 ล้านล้านต่อปี โดยเฉลี่ยแล้วองค์กรจะใช้เวลา 31 วันในการย้อนกลับหลังอาชญากรรมไซเบอร์ที่มีค่าใช้จ่ายในการแก้ไขประมาณ 639 $ 500

คุณรู้หรือไม่ว่าการปฏิเสธบริการ (การโจมตี DDOS) การละเมิดทางเว็บและบุคคลภายในที่เป็นอันตรายคิดเป็น 55% ของค่าใช้จ่ายอาชญากรรมไซเบอร์ทั้งหมด สิ่งนี้ไม่เพียงสร้างความคุกคามต่อข้อมูลของคุณ แต่ยังอาจทำให้คุณสูญเสียรายได้

Frank Abagnale ผู้จัดการความสำเร็จของลูกค้าของ Semalt Digital Services เสนอให้พิจารณากรณีการละเมิดสามกรณีต่อไปนี้ในปี 2559

คดีแรก: Mossack-Fonseca (The Panama Papers)

เรื่องอื้อฉาวของปานามา Papers บุกเข้าไปในไฟแก็ซในปี 2015 แต่เนื่องจากมีเอกสารนับล้านที่ต้องร่อนผ่านมันจึงถูกพัดพาไปในปี 2559 การรั่วไหลเผยให้เห็นว่านักการเมืองนักธุรกิจผู้มีชื่อเสียงคนดังและ Creme de la creme ของสังคม เงินของพวกเขาในบัญชีต่างประเทศ บ่อยครั้งที่สิ่งนี้ร่มรื่นและข้ามเส้นจริยธรรม แม้ว่า Mossack-Fonseca เป็นองค์กรที่เชี่ยวชาญเรื่องความลับ แต่กลยุทธ์ความปลอดภัยของข้อมูลนั้นแทบจะไม่มีอยู่จริง สำหรับการเริ่มต้นปลั๊กอินภาพสไลด์ของ WordPress ที่ใช้ล้าสมัยแล้ว ประการที่สองพวกเขาใช้ Drupal อายุ 3 ปีกับช่องโหว่ที่รู้จัก น่าแปลกที่ผู้ดูแลระบบขององค์กรไม่เคยแก้ไขปัญหาเหล่านี้

บทเรียน:

  • > ตรวจสอบให้แน่ใจเสมอว่าแพลตฟอร์ม CMS ปลั๊กอินและธีมของคุณได้รับการอัปเดตเป็นประจำ
  • > อัปเดตอยู่กับภัยคุกคามความปลอดภัย CMS ล่าสุด Joomla, Drupal, WordPress และบริการอื่น ๆ มีฐานข้อมูลสำหรับสิ่งนี้
  • > สแกนปลั๊กอินทั้งหมดก่อนใช้งานและเปิดใช้งาน

กรณีที่สอง: รูปภาพโปรไฟล์ของ PayPal

Florian Courtial (วิศวกรซอฟต์แวร์ชาวฝรั่งเศส) พบช่องโหว่ CSRF (การร้องขอข้ามไซต์) ในเว็บไซต์ PayPal.me ที่ใหม่กว่าของ PayPal ยักษ์ใหญ่การชำระเงินออนไลน์ทั่วโลกเปิดตัว PayPal.me เพื่ออำนวยความสะดวกในการชำระเงินที่เร็วขึ้น อย่างไรก็ตาม PayPal.me อาจถูกนำไปใช้ประโยชน์ Florian สามารถแก้ไขและลบโทเค็น CSRF ได้ดังนั้นจึงอัปเดตรูปภาพโปรไฟล์ของผู้ใช้ เหมือนเดิมใคร ๆ ก็สามารถเลียนแบบคนอื่นด้วยการทำให้รูปภาพของพวกเขาออนไลน์พูดเช่นจาก Facebook

บทเรียน:

  • > ประโยชน์เฉพาะโทเค็น CSRF สำหรับผู้ใช้ - สิ่งเหล่านี้ควรไม่ซ้ำกันและเปลี่ยนแปลงเมื่อใดก็ตามที่ผู้ใช้ลงชื่อเข้าใช้
  • > โทเค็นต่อคำขอ - นอกเหนือจากจุดด้านบนโทเค็นเหล่านี้ควรจะพร้อมใช้งานเมื่อผู้ใช้ร้องขอ มันให้ความคุ้มครองเพิ่มเติม
  • > หมดเวลา - ลดความเสี่ยงหากบัญชียังคงไม่ทำงานเป็นระยะเวลาหนึ่ง

กรณีที่สาม: กระทรวงการต่างประเทศรัสเซียพบกับความอับอาย XSS

ในขณะที่การโจมตีเว็บส่วนใหญ่มีจุดประสงค์เพื่อสร้างความเสียหายต่อรายได้ชื่อเสียงและการรับส่งข้อมูลขององค์กร ตรงประเด็นแฮ็คที่ไม่เคยเกิดขึ้นในรัสเซีย นี่คือสิ่งที่เกิดขึ้น: แฮ็กเกอร์ชาวอเมริกัน (ชื่อเล่นของเจสเตอร์) ใช้ช่องโหว่ข้ามไซต์สคริปต์ (XSS) ที่เขาเห็นในเว็บไซต์กระทรวงต่างประเทศของรัสเซีย ตัวตลกสร้างเว็บไซต์จำลองที่เลียนแบบมุมมองของเว็บไซต์อย่างเป็นทางการยกเว้นพาดหัวซึ่งเขากำหนดเองเพื่อสร้างการเย้ยหยันของพวกเขา

บทเรียน:

  • > ฆ่าเชื้อมาร์กอัป HTML
  • > อย่าใส่ข้อมูลจนกว่าคุณจะตรวจสอบมัน
  • > ใช้การยกเว้น JavaScript ก่อนที่คุณจะป้อนข้อมูลที่ไม่น่าเชื่อถือในค่าข้อมูล (JavaScript) ของภาษา
  • > ป้องกันตนเองจากช่องโหว่ XSS ที่อิง DOM

mass gmail