Ba bài học bảo mật ứng dụng web cần ghi nhớ. Chuyên gia Semalt biết cách tránh trở thành nạn nhân của tội phạm mạng

Vào năm 2015, Viện Ponemon đã công bố kết quả từ một nghiên cứu "Chi phí của tội phạm mạng" mà họ đã thực hiện. Không có gì ngạc nhiên khi chi phí của tội phạm mạng đang gia tăng. Tuy nhiên, các số liệu đã nói lắp. Các dự án liên doanh không gian mạng (tập đoàn toàn cầu) mà chi phí này sẽ đạt 6 nghìn tỷ đô la mỗi năm. Trung bình, phải mất 31 ngày để tổ chức trở lại sau một tội phạm mạng với chi phí khắc phục ở mức khoảng $ 639 500.

Bạn có biết rằng việc từ chối dịch vụ (tấn công DDOS), vi phạm dựa trên web và người trong cuộc độc hại chiếm 55% tổng chi phí tội phạm mạng? Điều này không chỉ gây ra mối đe dọa cho dữ liệu của bạn mà còn có thể khiến bạn mất doanh thu.

Frank Abagnale, Giám đốc Thành công của Dịch vụ Kỹ thuật số Semalt , đề nghị xem xét ba trường hợp vi phạm sau đây được thực hiện trong năm 2016.

Trường hợp đầu tiên: Mossack-Fonseca (Giấy tờ Panama)

Vụ bê bối Panama Papers đã đột nhập vào ánh đèn sân khấu vào năm 2015, nhưng vì hàng triệu tài liệu phải được sàng lọc, nó đã bị thổi bay vào năm 2016. Vụ rò rỉ tiết lộ cách các chính trị gia, doanh nhân giàu có, người nổi tiếng và tổ chức xã hội lưu trữ tiền của họ trong tài khoản nước ngoài. Thông thường, điều này là mờ ám và vượt qua dòng đạo đức. Mặc dù Mossack-Fonseca là một tổ chức chuyên về bí mật, chiến lược bảo mật thông tin của nó gần như không tồn tại. Để bắt đầu, plugin trượt hình ảnh WordPress mà họ sử dụng đã lỗi thời. Thứ hai, họ đã sử dụng một Drupal 3 tuổi với các lỗ hổng đã biết. Đáng ngạc nhiên, các quản trị viên hệ thống của tổ chức không bao giờ giải quyết các vấn đề này.

Những bài học:

  • > luôn đảm bảo rằng các nền tảng, plugin và chủ đề CMS của bạn được cập nhật thường xuyên.
  • > luôn cập nhật với các mối đe dọa bảo mật CMS mới nhất. Joomla, Drupal, WordPress và các dịch vụ khác có cơ sở dữ liệu cho việc này.
  • > quét tất cả các plugin trước khi bạn thực hiện và kích hoạt chúng

Trường hợp thứ hai: Ảnh đại diện của PayPal

Florian Courtial (một kỹ sư phần mềm người Pháp) đã tìm thấy lỗ hổng CSRF (giả mạo yêu cầu trang web chéo) trong trang web mới hơn của PayPal, PayPal.me. Gã khổng lồ thanh toán trực tuyến toàn cầu đã tiết lộ PayPal.me để tạo điều kiện thanh toán nhanh hơn. Tuy nhiên, PayPal.me có thể bị khai thác. Florian đã có thể chỉnh sửa và thậm chí xóa mã thông báo CSRF do đó cập nhật ảnh đại diện của người dùng. Như vậy, bất kỳ ai cũng có thể mạo danh người khác bằng cách lấy hình ảnh của họ trực tuyến nói ví dụ từ Facebook.

Những bài học:

  • > tận dụng các mã thông báo CSRF duy nhất cho người dùng - chúng phải là duy nhất và thay đổi bất cứ khi nào người dùng đăng nhập.
  • > mã thông báo cho mỗi yêu cầu - ngoài điểm trên, các mã thông báo này cũng sẽ được cung cấp khi người dùng yêu cầu chúng. Nó cung cấp bảo vệ bổ sung.
  • > hết thời gian - giảm lỗ hổng nếu tài khoản không hoạt động trong một thời gian.

Trường hợp thứ ba: Bộ Ngoại giao Nga phải đối mặt với sự xấu hổ XSS

Trong khi hầu hết các cuộc tấn công web có nghĩa là tàn phá doanh thu, danh tiếng và lưu lượng truy cập của một tổ chức, một số có nghĩa là gây bối rối. Trường hợp điển hình, vụ hack không bao giờ xảy ra ở Nga. Đây là những gì đã xảy ra: một tin tặc người Mỹ (biệt danh là Jester) đã khai thác lỗ hổng kịch bản chéo trang (XSS) mà anh ta thấy trên trang web của Bộ Ngoại giao Nga. Jester đã tạo ra một trang web giả bắt chước triển vọng của trang web chính thức ngoại trừ tiêu đề, mà anh ta tùy chỉnh để tạo ra một sự nhạo báng của họ.

Những bài học:

  • > vệ sinh đánh dấu HTML
  • > không chèn dữ liệu trừ khi bạn xác minh nó
  • > sử dụng lối thoát JavaScript trước khi bạn nhập dữ liệu không đáng tin cậy vào các giá trị dữ liệu của ngôn ngữ (JavaScript)
  • > bảo vệ bạn khỏi các lỗ hổng XSS dựa trên DOM

mass gmail