Back to Question Center
0

Tri Reteja Aplika Sekureca Lecionoj Konservi En Menso. Semalta Fakulo Scias Kiel Eviti Esti Viktimo De Kibraj Krimuloj

1 answers:

En 2015, la Mezlernejo Ponemon publikigis rezultojn de studo "Kosto de Cyber-Krimo",kiun ili kondukis. Ĝi ne surprizis, ke la kosto de ciber-krimo pliiĝis. Tamen, la ciferoj estis stultaj.Cybersecurity Ventures (tutmonda konglomeraĵo) projektas, ke ĉi tiu kosto trafos $ 6 miliardojn por jaro. En mezumo, ĝi prenas organizon31 tagojn por rekompenci post kverela krimo kun la kosto de remediaĵo je proksimume $ 639 500.

Ĉu vi sciis, ke la rifuzo de servo (atakoj de DDOS), malsukcesa kaj malica retejoLa partoprenantoj konsistas el 55% de ĉiuj ciber-krimaj kostoj? Ĉi tio ne nur prezentas minacon al viaj datumoj, sed ankaŭ povus perdi enspezojn.

Frank Abagnale, la Kliento Sukcesa Direktisto de Semalt Cifereca Servoj, proponas konsideri la sekvajn tri kazojn de breĉoj faritaj en 2016.

Unua kazo: Mossack-Fonseca (La Panamo-Paperoj)

La skandalo de Panamo-Paperoj eniris la limon en 2015, sed pro lamilionoj da dokumentoj, kiujn oni devis forpeli, estis blovita en 2016. La fluo malkaŝis kiel politikistoj, riĉaj komercistoj,famuloj kaj la kremoj de la socio de la socio stokis sian monon en eksterlandaj kontoj. Ofte, ĉi tio estis ombra kaj transiris la etikanlinio. Kvankam Mossack-Fonseca estis organizo specialigita en sekreteco, ĝia informa sekureca strategio preskaŭ ne ekzistis.Por komenco, la WordPress bildo-diapozitiva kromaĵo kiun ili uzis estis antikva. En dua loko, ili uzis Drupalon de 3 jaroj kun konataj vundoj.Surprize, la administraj sistemaj administrantoj neniam solvas ĉi tiujn aferojn.

Lecionoj:

  • > ĉiam certigas, ke viaj platformoj, kromaĵojn kaj temoj de CMS estas regule ĝisdatigitaj..
  • > restu ĝisdatigita kun la plej lastaj sekurecaj minacoj de CMS. Joomla, Drupalo, WordPress kaj aliajServoj havas datumbazon por ĉi tio.
  • > skani ĉiujn kromaĵojn antaŭ ol vi efektivigas kaj aktivigu ilin

Dua kazo: la bildo de PayPal

Florian Courtial (franca softvara inĝeniero) trovis CSRF (kruc-ejon-peto-falsigon)vulnerabileco en la nova retejo de PayPal, PayPal.me. La tutmonda pago-giganto montris PayPal.me por faciligi pli rapidajn pagojn. Tamen,PayPal.me povus esti eksplodita. Florian povis redakti kaj eĉ forigis la CSRF-signon per tio ĝisdatigante la profilon-bildon de la uzanto. Kiel ĝiestis, iu povus kapitulacigi al iu alia ricevante sian bildon interrete diri ekzemple ekzemple de Facebook.

Lecionoj:

  • > utiligas solan CSRF-tokojn por uzantoj - ĉi tiuj devas esti unikaj kaj ŝanĝiĝu kiam la uzanto ensalutos.
  • > token per peto - krom la punkto supre, ĉi tiuj tokensoj ankaŭ estu haveblajkiam la uzanto petas ilin. Ĝi provizas plian protekton.
  • > elsendado - reduktas la vulnerabilecon se la konto restas senaga por iu tempo.

Tria kazo: La rusa Ministerio pri Eksterlandaj Aferoj alfrontas XSS-Embarason

Dum la plej multaj atencoj atakas malkonstruon al enspezoj, reputacio,kaj trafiko, iuj estas embarasaj. Kazo en punkto, la hako, kiu neniam okazis en Rusujo. Jen kio okazis: usona hakisto(apodado de la Jester) eksplodis la vulnerabilecon de la kruco-retejo (XSS), kiun li vidis en la retejo de Rusio pri Eksterlandaj Aferoj. LaJester kreis manlibron retejo kiu mimis la perspektivon de la oficiala retejo krom la titulado, kiun li adaptis por farimokado de ili.

Lecionoj:

  • > sanigas la HTML-markon
  • > ne enmetu datumojn krom se vi ĝin konfirmas
  • > uzas JavaScript-eskapon antaŭ ol vi eniras nefiditan datumon en la datumoj de la lingvo (Javascript) datumoj
  • > ŝirmu vin mem de DOM-bazitaj XSS-vundeblecoj
November 28, 2017
Tri Reteja Aplika Sekureca Lecionoj Konservi En Menso. Semalta Fakulo Scias Kiel Eviti Esti Viktimo De Kibraj Krimuloj
Reply