ثلاثة دروس لتطبيقات الويب يجب وضعها في الاعتبار. خبير Semalt يعرف كيفية تجنب الوقوع ضحية لمجرمي الإنترنت

في عام 2015 ، نشر معهد Ponemon نتائج دراسة أجرتها مؤسسة "تكلفة الجرائم السيبرانية". لم يكن من المستغرب أن تكلفة الجريمة السيبرانية آخذة في الازدياد. ومع ذلك ، كانت الأرقام متعثرة. تتوقع مشاريع الأمن السيبراني (التكتل العالمي) أن تصل هذه التكلفة إلى 6 تريليون دولار سنويًا. في المتوسط ، تستغرق المنظمة 31 يومًا للارتداد بعد الجريمة السيبرانية بتكلفة العلاج عند حوالي 639500 دولار.

هل تعلم أن الحرمان من الخدمة (هجمات DDOS) والانتهاكات القائمة على الويب والمطلعين الداخليين يشكلون 55٪ من جميع تكاليف الجرائم الإلكترونية؟ لا يشكل هذا تهديدًا لبياناتك فحسب ، بل قد يجعلك أيضًا تخسر الأرباح.

يعرض فرانك أباجنال ، مدير نجاح العملاء في Semalt Digital Services ، النظر في الحالات الثلاث التالية للانتهاكات التي حدثت في عام 2016.

الحالة الأولى: Mossack-Fonseca (أوراق بنما)

اندلعت فضيحة أوراق بنما في دائرة الضوء في عام 2015 ، ولكن بسبب ملايين الوثائق التي كان يتعين فحصها ، تم تفجيرها في عام 2016. كشف التسرب عن كيفية تخزين السياسيين ورجال الأعمال الأثرياء والمشاهير وقمة كريم المجتمع أموالهم في حسابات خارجية. في كثير من الأحيان ، كان هذا مظللًا وعبر الخط الأخلاقي. على الرغم من أن موساك فونسيكا كانت منظمة متخصصة في السرية ، إلا أن إستراتيجيتها لأمن المعلومات كانت شبه معدومة. كبداية ، كان المكون الإضافي لشريحة الصور في WordPress قديمًا. ثانيًا ، استخدموا دروبال عمره 3 سنوات مع نقاط ضعف معروفة. والمثير للدهشة أن مسؤولي النظام في المنظمة لم يحلوا هذه المشكلات أبدًا.

الدروس:

  • > تأكد دائمًا من تحديث منصات CMS والمكونات الإضافية والمظاهر بانتظام.
  • > ابق على اطلاع بأحدث التهديدات الأمنية CMS. تحتوي Joomla و Drupal و WordPress وغيرها من الخدمات على قواعد بيانات لهذا الغرض.
  • > مسح جميع المكونات الإضافية قبل تنفيذها وتنشيطها

الحالة الثانية: صورة ملف PayPal الشخصي

وجدت Florian Courtial (مهندس برامج فرنسي) ثغرة CSRF (تزوير طلب عبر الموقع) في موقع PayPal الأحدث ، PayPal.me. كشف عملاق الدفع عبر الإنترنت العالمي عن PayPal.me لتسهيل عمليات الدفع الأسرع. ومع ذلك ، يمكن استغلال PayPal.me. تمكن فلوريان من تعديل رمز CSRF وإزالته وبالتالي تحديث صورة ملف تعريف المستخدم. كما كان الأمر ، يمكن لأي شخص انتحال شخصية شخص آخر عن طريق نشر صورته عبر الإنترنت على سبيل المثال من Facebook.

الدروس:

  • > استفد من الرموز المميزة لـ CSRF للمستخدمين - يجب أن تكون هذه فريدة وتتغير كلما قام المستخدم بتسجيل الدخول.
  • > الرمز المميز لكل طلب - بخلاف النقطة أعلاه ، يجب أيضًا إتاحة هذه الرموز المميزة عند طلب المستخدم لها. يوفر حماية إضافية.
  • > المهلة - تقلل من الضعف إذا ظل الحساب غير نشط لبعض الوقت.

الحالة الثالثة: تواجه وزارة الخارجية الروسية حرجًا في XSS

في حين أن معظم هجمات الويب تهدف إلى إحداث فوضى في إيرادات المنظمة وسمعتها وحركة المرور ، فإن بعضها يهدف إلى الإحراج. مثال على ذلك ، الاختراق الذي لم يحدث قط في روسيا. هذا ما حدث: استغل أحد القراصنة الأمريكيين (الملقب بـ Jester) ضعف البرمجة النصية عبر المواقع (XSS) التي شاهدها على موقع وزارة الخارجية الروسية. أنشأ المهرج موقعًا وهميًا يحاكي نظرة الموقع الرسمي باستثناء العنوان الرئيسي ، الذي خصصه للسخرية منهم.

الدروس:

  • > تعقيم ترميز HTML
  • > لا تقم بإدخال البيانات ما لم تتحقق منها
  • > استخدم هروب جافا سكريبت قبل إدخال بيانات غير موثوق بها في قيم بيانات اللغة (جافا سكريبت)
  • > احمي نفسك من نقاط الضعف XSS القائمة على DOM

mass gmail