Webatda saklamaly üç web programma howpsuzlygy sapagy. Semalt hünärmeni kiber jenaýatçylaryň pidasy bolmakdan nädip saklanmalydygyny bilýär

2015-nji ýylda Ponemon instituty özleri tarapyndan geçirilen "Kiber jenaýatyň bahasy" atly gözlegiň netijelerini çap etdi. Kiber jenaýatçylygynyň bahasynyň ýokarlanýandygy geň däldi. Muňa garamazdan, sanlar keýpsizdi. Kiberhowpsuzlyk kärhanalary (global konglomerat) bu çykdajy ýylda 6 trillion dollar bolar. Orta hasap bilen, düzediş bahasy 639 500 dollar töweregi bolan kiber jenaýatdan soň yza gaýdyp barmak üçin bir gurama 31 gün gerek.

Hyzmatdan ýüz öwürmek (DDOS hüjümleri), web esasly düzgün bozmalar we zyýanly içerki adamlar kiber jenaýat çykdajylarynyň 55% -ini düzýändigini bilýärdiňizmi? Bu diňe bir maglumatlaryňyza howp salman, eýsem girdejiňizi ýitirip biler.

Semalt Digital Services” -iň Müşderi Üstünlik Dolandyryjysy Frank Abagnale, 2016-njy ýylda ýüze çykan düzgün bozulmalarynyň üçüsine garamagy teklip edýär.

Birinji waka: Mossack-Fonseca (Panamanyň kagyzlary)

“Panama kagyzlary” dawasy 2015-nji ýylda meşhurlyga eýe bolupdy, ýöne gözden geçirilmeli millionlarça resminama sebäpli 2016-njy ýylda partladyldy. Maglumatyň ýaýramagynda syýasatçylaryň, baý telekeçileriň, meşhurlaryň we jemgyýetiň kremleriniň nädip saklanandygy aýan edildi. deňiz hasaplarynda pullary. Köplenç bu kölegeli bolup, ahlak çäginden geçýärdi. Mossack-Fonseca gizlinlikde ýöriteleşen bir gurama bolsa-da, maglumat howpsuzlygy strategiýasy düýbünden ýokdy. Ilki bilen, ulanan WordPress şekil slaýd plagini köne. Ikinjiden, belli gowşak ýerleri bolan 3 ýaşly Drupal ulandylar. Geň zat, guramanyň ulgam dolandyryjylary bu meseleleri hiç haçan çözmeýärler.

Sapaklar:

  • > CMS platformalaryňyzyň, pluginleriňiziň we mowzuklaryňyzyň yzygiderli täzelenmegine göz ýetiriň.
  • > iň soňky CMS howpsuzlyk howplary bilen täzelenip duruň. Joomla, Drupal, WordPress we beýleki hyzmatlaryň munuň üçin maglumat bazalary bar.
  • > durmuşa geçirmezden we işjeňleşdirmezden ozal ähli pluginleri skanirläň

Ikinji ýagdaý: “PayPal” -yň profil suraty

Florian Courtial (fransuz programma inereneri) PayPal-yň täze sahypasy PayPal.me-de CSRF (saýtdan ýasama haýyş) galplygyny tapdy. Global onlaýn töleg giganty has çalt tölegleri ýeňilleşdirmek üçin PayPal.me-ni açdy. Şeýle-de bolsa, “PayPal.me” ulanylyp bilner. Florian, ulanyjynyň profil suratyny täzeläp, CSRF nyşanyny redaktirlemegi we hatda aýyrmagy başardy. Bolşy ýaly, kimdir biri öz suratlaryny onlaýn ýagdaýda Facebook-dan almak arkaly başga biriniň keşbine girip biler.

Sapaklar:

  • > ulanyjylar üçin özboluşly CSRF belliklerinden peýdalanyň - bular üýtgeşik bolmaly we ulanyjy gireninde üýtgemeli.
  • > haýyş üçin belgi - ýokardaky nokatdan başga, bu bellikler ulanyjy haýyş edeninde elýeterli bolmaly. Goşmaça goragy üpjün edýär.
  • > wagt gutarmak - hasap belli bir wagtlap hereketsiz galsa, gowşaklygy peseldýär.

Üçünji waka: Russiýanyň Daşary işler ministrligi XSS masgaraçylygy bilen ýüzbe-ýüz bolýar

Web hüjümleriniň köpüsi bir guramanyň girdejisine, abraýyna we traffigine zyýan ýetirmek üçin niýetlenen bolsa, käbirleri utandyrmak üçin. Mysal üçin, Russiýada hiç haçan bolmady. Bu waka boldy: Amerikaly haker (Jester lakamly) Russiýanyň Daşary işler ministrliginiň web sahypasynda gören haç skriptiniň (XSS) gowşaklygyndan peýdalandy. Jester, resmi web sahypasynyň dünýägaraýşyna meňzeýän, üstünden gülmek üçin ýöriteleşdiren sözbaşydan başga bir web sahypasyny döretdi.

Sapaklar:

  • > HTML belligini arassalamak
  • > tassyklamasaňyz maglumat goýmaň
  • > diliň (JavaScript) maglumat bahalaryna ynamsyz maglumatlary girizmezden ozal JavaScript gaçmagyny ulanyň
  • > DOM esasly XSS gowşaklyklaryndan goraň

send email