Три урока за сигурност на уеб приложенията, които да поддържате в ума. Експертът на Semalt знае как да избегнем да станем жертва на киберпрестъпниците
През 2015 г. Институтът „Понемон“ публикува открития от проучване „Разходи за киберпрестъпност“, проведено от тях. Не беше изненада, че цената на кибер престъпността се увеличава. Цифрите обаче заекваха. Проекти за киберсигурност (глобален конгломерат), които тази цена ще достигнат 6 трилиона долара годишно. Средно са необходими 31 дни, за да се върне след кибер престъпление, като разходите за саниране са около 639 500 долара.
Знаете ли, че отказът на услуга (DDOS атаки), нарушенията в интернет и злонамерените вътрешни лица представляват 55% от всички разходи за кибер престъпления? Това не само представлява заплаха за вашите данни, но също така може да ви накара да загубите приходи.
Франк Абанял, мениджърът за успех на клиенти на Semalt Digital Services, предлага да разгледа следните три случая на нарушения, извършени през 2016 г.
Първи случай: Мосак-Фонсека (Панамските документи)
Скандалът с Panama Papers избухна в светлината на прожекторите през 2015 г., но поради милионите документи, които трябваше да бъдат пресяти, той бе взривен през 2016 г. Течът разкри как политиците, заможните бизнесмени, известните личности и крема де ла крем на обществото се съхраняват парите им в офшорни сметки. Често това беше сенчесто и преминаваше етичната линия. Въпреки че Mossack-Fonseca беше организация, специализирана в областта на секретността, стратегията й за информационна сигурност почти не съществуваше. За начало приставката за слайдове на изображението в WordPress, която са използвали, е остаряла. Второ, те използваха 3-годишен Drupal с известни уязвимости. Изненадващо системните администратори на организацията никога не разрешават тези проблеми.
Уроци:
- > винаги се уверявайте, че вашите CMS платформи, приставки и теми редовно се актуализират.
- > останете в течение с най-новите заплахи за сигурността на CMS. Joomla, Drupal, WordPress и други услуги имат бази данни за това.
- > сканирайте всички приставки, преди да ги внедрите и активирате
Втори случай: снимката на потребителския профил на PayPal
Флориан Курсиал (френски софтуерен инженер) откри уязвимостта на CSRF (заявка за подправяне на заявки в различни сайтове) в по-новия сайт на PayPal, PayPal.me. Глобалният гигант за онлайн разплащания представи PayPal.me, за да улесни по-бързите плащания. PayPal.me обаче може да се използва. Флориан успя да редактира и дори премахна маркера на CSRF, като по този начин актуализира снимката на потребителския профил. Както беше, всеки би могъл да се представи по друг начин, като получи снимката си онлайн, например от Facebook.
Уроци:
- > използвайте уникални CSRF маркери за потребителите - те трябва да бъдат уникални и да се променят всеки път, когато потребителят влезе.
- > токен на заявка - различна от горепосочената, тези жетони също трябва да бъдат достъпни, когато потребителят поиска за тях. Осигурява допълнителна защита.
- > изтичане на времето - намалява уязвимостта, ако акаунтът остава неактивен за известно време.
Трети случай: Министерството на външните работи на Русия се изправя пред смущение на XSS
Въпреки че повечето уеб атаки имат за цел да предизвикат хаос за приходите, репутацията и трафика на организацията, някои имат за цел да смущават. Пример, хакът, който никога не се е случвал в Русия. Това се случи: американски хакер (по прякор Jester) използва уязвимостта на кръстосаните скриптове (XSS), която видя на уебсайта на министерството на външните работи на Русия. Мастерът създаде манекен уебсайт, който имитира изгледите на официалния уебсайт, с изключение на заглавието, което той персонализира да се подиграва с тях.
Уроци:
- > санирайте HTML маркирането
- > не вмъквайте данни, освен ако не ги потвърдите
- > използвайте JavaScript бягство, преди да въведете неповерителни данни в стойностите на данните на езика (JavaScript)
- > защитавайте се от XSS уязвимости