Back to Question Center
0

Uchta veb-dastur havfsizligi darslari. Semals mutaxassislari kiber jinoyatlar qurboniga aylanishdan qanday qochish kerakligini biladi

1 answers:

2015 yilda Ponton instituti "Kiber-jinoyatchilikning qiymati"ular amalga oshirgan. Kiber-kino jinoyatlarining narxi ortib borayotgani ajablanarli emas. Biroq, bu raqamlar qotib turardi.Kiberjarrohlik korxonalari (global konglomerat) loyihalari yiliga 6 trillion dollarga tushadi. O'rtacha bo'lib, u tashkilotni oladi31 kun davomida kiber jinoyatlardan keyin tiklanish qiymati $ 639 500 ga teng.

Siz xizmatdan voz kechish (DDOS hujumlari), veb-ga asoslangan buzg'unchilik va zararli ekanligini bildingizmi?kiber jinoyatlar uchun barcha xarajatlarning 55% tashkil qiladi? Bu sizning ma'lumotlaringiz uchun xavf tug'dirmaydi, balki sizni daromadni yo'qotib qo'yishi mumkin.

Frank Abagnale, mijozning muvaffaqiyati menejeri Semals Digital Services, 2016 yilda qilingan uchta buzg'unchilikni ko'rib chiqishni taklif qiladi.

Birinchi holat: Mossak-Fonseca (Panama gazetalari)

Panama gazetalari janjallari 2015 yilda diqqatni o'ziga tortdi, lekin bu tufaylimillionlab hujjatlar 2016-yilda portlatilgan bo'lishi kerak edi. Oqish oqibatida siyosatchilar, boy tadbirkorlar,mashhur kishilar va jamiyatning krema de la creme pullarini offshor hisoblarida saqlab qolishdi. Ko'pincha, bu shubhali va axloqiy tomondan o'tdiyo'nalish. Mossack-Fonseca maxfiylikka ixtisoslashgan tashkilot bo'lgan bo'lsa-da, uning axborot xavfsizligi strategiyasi deyarli yo'q edi.Boshlash uchun ishlatilgan WordPress rasm slayd plaginlari eskirgan. Ikkinchidan, ular ma'lum zaifliklarga ega bo'lgan 3 yoshli Drupaldan foydalanganlar.Ajablanarlisi shundaki, tashkilotning tizim ma'murlari ushbu muammolarni hal qilishmaydi.

Kurslar:

  • > har doim CMS platformalaringiz, plaginlar va mavzular muntazam yangilanganligini tekshirib turing..
  • > oxirgi CMS xavfsizligi tahdidlari bilan yangilanadi. Joomla, Drupal, WordPress va boshqalarxizmatlar uchun ma'lumotlar bazalari mavjud
  • > siz barcha plaginlarni ishga tushirish va faollashtirishdan oldin ularni tekshirish

Ikkinchi holat: PayPal profilidagi rasm

Florian Courtial (frantsiyalik dasturiy ta'minot muhandisi) CSRF (cross sayt request spoofing)PayPal-ning yangi saytida, PayPal.me. Global onlayn to'lov giganti tez to'lovlarni osonlashtirish uchun PayPal.me ni taqdim etdi. Biroq,PayPal.me ishlatilishi mumkin. Florian CSRF tokenini tahrirlab, hatto o'chirib tashlagan, shu sababli foydalanuvchining profil rasmini yangilagan. Bu kabiFacebookdagi rasmlardan foydalanib, kimdir boshqa odamni taqlid qilishi mumkin edi.

Kurslar:

  • > foydalanuvchilar uchun noyob CSRF tokenslari - bu foydalanuvchilar noyob bo'lishi va foydalanuvchi kirgan har qanday vaqtda o'zgarishi
  • > token so'rov uchun - yuqorida ko'rsatilganidan tashqari, bu jildlar ham taqdim etilishi kerakfoydalanuvchining o'zi talab qilgan vaqtda. Bu qo'shimcha himoya bilan ta'minlaydi.
  • > Vaqtni belgilash - hisob bir muddat faol bo'lmagan holda zaiflikni kamaytiradi.

Uchinchisi: Rossiya Tashqi ishlar vazirligi XSSni xijolatga solmoqda

Ko'pgina veb-hujumlari tashkilotning daromadini, obro'sini,va tashish, ba'zilari sharmandalikka qaratilgan. Masala yuzasidan, Rossiyada hech qachon ro'y bergan hack. Bu shunday bo'ldi: Amerika xakerlari("Jester" laqabli) Rossiya Tashqi ishlar vazirligi veb-saytida ko'rgan saytni (XSS) zaiflikdan foydalangan. Ushbujester veb-saytning ko'rinishini takomillashtiradigan veb-sayt yaratdi, unda u "ularni masxara qilish.

Kurslar:

  • > HTML formatlashni sanit
  • > ma'lumotlarni tekshirmaguningizcha ma'lumotlarni kiritmang
  • > tilning (JavaScript) ma'lumotlariga ishonchli bo'lmagan ma'lumotlarni kiritmasdan oldin JavaScript-dan foydalaning
  • > DOMga asoslangan XSS zaifliklaridan o'zingizni himoyalash
November 28, 2017
Uchta veb-dastur havfsizligi darslari. Semals mutaxassislari kiber jinoyatlar qurboniga aylanishdan qanday qochish kerakligini biladi
Reply