दिमागमा राख्नको लागि तीन वेब अनुप्रयोग सुरक्षा पाठ। Semalt विशेषज्ञले कसरी साइबर अपराधीहरूको शिकार बन्नबाट बच्ने भनेर जान्दछन्

२०१ 2015 मा, पोनमोन इन्स्टिच्यूटले "लागत साइबर क्राइम" को अध्ययनबाट निष्कर्ष निकाला, जुन उनीहरूले गरेका थिए। साइबर अपराधको लागत बढ्दै गएकोमा यो कुनै आश्चर्यको कुरा थिएन। यद्यपि तथ्या्क अस्थिर थिए। साइबरसुरक्षा भेन्चर (विश्वव्यापी समूह) परियोजनाहरू जुन यस लागतले प्रति वर्ष $ ट्रिलियन डलर मार्छ। औसतन, यो एक संगठन को लागी $$ 500०० मा उपचार को लागत संग एक साइबर अपराध पछि फिर्ता बाछा गर्न 31 दिन लाग्छ।

के तपाईंलाई थाहा छ सेवा (DDOS आक्रमणहरू), वेब आधारित उल्लंघनहरू र मालिसियस भित्री भित्रका इन्कारहरू सबै साइबर अपराध लागतको%%% को लागि हुन्छ? यसले तपाईको डेटालाई मात्र खतरा बनाउँदछ तर तपाईलाई राजस्व गुमाउन पनि सक्छ।

Semalt डिजिटल सेवाहरु का ग्राहक सफलता प्रबन्धक फ्रान्क Abagnale, २०१ 2016 मा बनेको उल्लंघन को निम्नलिखित तीन मामलाहरु मा विचार गर्न प्रस्ताव गर्दछ।

पहिलो केस: मोस्याक-फोन्सेका (पनामा पेपर्स)

२०१ama मा पानामा पेपर्स घोटालामा छाडियो तर लाखौं कागजातहरूका कारण यसलाई हटाएर २०१ 2016 मा उडाियो। चुहावटले राजनीतिज्ञ, धनी व्यापारी, सेलिब्रेटीहरू र समाजको क्रेम डे ला क्रेम कसरी भण्डारित भयो भन्ने कुरा पत्ता लगायो। तिनीहरूको पैसा अफशोर खाताहरूमा। अक्सर, यो छायादार थियो र नैतिक रेखा पार गर्‍यो। जे होस् Mossack-Fonseca एक संगठन थियो कि गोपनीयता मा विशेषज्ञता, यसको जानकारी सुरक्षा रणनीति लगभग अस्तित्वमा थियो। एक सुरुवातको लागि, उनीहरूले प्रयोग गरेको WordPress छवि स्लाइड प्लगइन मिति सकियो। दोस्रो, उनीहरूले ज्ञात कमजोरीहरूको साथ-बर्षे पुरानो ड्रुपल प्रयोग गरे। अचम्मको कुरा, संगठनका प्रणाली प्रशासकहरूले यी विवादहरू कहिले समाधान गर्दैनन्।

पाठ:

  • > सँधै यो सुनिश्चित गर्नुहोस् कि तपाइँको CMS प्लेटफार्म, प्लगइन र विषयवस्तुहरू नियमित रूपमा अद्यावधिक छन्।
  • > नवीनतम CMS सुरक्षा खतराको साथ अपडेट रहनुहोस्। जुमला, ड्रुपल, WordPress र अन्य सेवाहरूका यसका लागि डाटाबेसहरू छन्।
  • > तपाइँ लागू गर्नु अघि तिनीहरुलाई सक्रिय पार्न सबै प्लगइनहरू स्क्यान गर्नुहोस्

दोस्रो केस: PayPal को प्रोफाइल तस्वीर

फ्लोरियन कोर्टियल (एक फ्रान्सेली सफ्टवेयर इंजीनियर) लाई एक PayPal को नयाँ साइट, PayPal.me मा CSRF (क्रस साइट अनुरोध जालसाजी) भेद्यता भेटायो। ग्लोबल अनलाइन भुक्तानी विशाल छिटो भुक्तान गर्न सहज गर्न PayPal.me अनावरण गर्‍यो। यद्यपि, PayPal.me शोषण गर्न सकिन्छ। फ्लोरियनले सम्पादन गर्न सक्षम भयो र CSRF टोकन हटायो जसले प्रयोगकर्ताको प्रोफाइल तस्वीर अपडेट गर्दछ। यो जस्तो थियो, कोहीले पनि आफ्नो तस्वीर अनलाईन द्वारा फेसबुकबाट उदाहरणका लागि अरू कसैलाई प्रतिरूपण गर्न सक्दछन्।

पाठ:

  • > प्रयोगकर्ताहरूका लागि अद्वितीय CSRF टोकनहरू प्राप्त गर्नुहोस् - यी अद्वितिय हुनुपर्दछ र जब पनि प्रयोगकर्ता लग इन हुन्छ परिवर्तन हुन्छ।
  • > प्रति अनुरोध टोकन - माथिको पोइन्ट बाहेक, यी टोकनहरू पनि उपलब्ध गरिनु पर्दछ जब प्रयोगकर्ताले उनीहरूको लागि अनुरोध गर्दछ। यसले थप सुरक्षा प्रदान गर्दछ।
  • > टाइम आउट आउट - यदि खाता केही समयको लागि निष्क्रिय रह्यो भने जोखिम कम गर्दछ।

तेस्रो केस: रूसी विदेश मामिला मन्त्रालयले XSS अप्ठ्यारो सामना गर्नुपर्‍यो

जबकि धेरै जसो वेब आक्रमणहरू संगठनको राजस्व, प्रतिष्ठा, र ट्राफिकको विनाशको लागि हो, केही शर्मिन्दाको लागि हो। मामला मा, ह्याक कि रूस मा कहिल्यै भएको छैन। यो के भएको थियो: एक अमेरिकी ह्याकर (जेस्टरको उपनामले) क्रस साइट स्क्रिप्टि ((XSS) जोखिमको शोषण गरे जुन उनले रसियाको विदेश मामिला मन्त्रालयको वेबसाइटमा देखेका थिए। जेस्टरले एउटा डमी वेबसाइट सिर्जना गर्‍यो जुन शीर्षकको बाहेक आधिकारिक वेबसाइटको दृष्टिकोणको नक्कल गर्‍यो, जुन उनीहरूको उपहास गर्न उसले अनुकूलित बनायो।

पाठ:

  • > HTML मार्कअप sanitize
  • > डाटा घुसाउँदैन जब सम्म तपाईं यसलाई प्रमाणित गर्नुहुन्न
  • > तपाईं जाभास्क्रिप्ट एस्केप प्रयोग गर्नुहोस् तपाईले भाषाको (जाभास्क्रिप्ट) डाटा मानहरूमा अविश्वसनीय डाटा प्रविष्ट गर्नु अघि
  • > DOM आधारित XSS कमजोरीहरूबाट आफूलाई जोगाउनुहोस्

mass gmail