Эстен чыгарбоо үчүн үч веб-программа коопсуздугу сабагы. Semalt Expert кибер кылмышкерлердин курмандыгы болуп калуудан кантип сактануу керектигин билет

2015-жылы Понемон институту алар өткөргөн "Кибер кылмыштын наркы" изилдөөсүнүн натыйжаларын жарыялаган. Киберкылмыштын наркы өсүп жатканы таң калыштуу эмес. Бирок, цифралар кекечтенди. Cyberecurity Ventures (глобалдык конгломерат) долбоорлорунун баасы жылына 6 триллион долларга жетет. Орточо эсеп менен, кибер кылмыштан кийин кайра калыбына келтирүү үчүн бир уюмга 31 күн талап кылынат, ал эми калыбына келтирүү баасы 639 500 АКШ долларын түзөт.

Тейлөө кызматынан баш тартуу (DDOS чабуулдары), веб-сайттын эрежелерин бузуу жана зыяндуу инсайдерлер кибер кылмыштуулуктун 55% түзөт. Бул сиздин маалыматтарыңызга коркунуч келтирип гана койбостон, кирешеңизди жоготушу мүмкүн.

Frank Abagnale , Semalt Digital Services Кардарлардын Ийгиликтери боюнча Менеджери, 2016-жылы орун алган кемчиликтердин үч учурун карап чыгууну сунуштайт.

Биринчи иш: Mossack-Fonseca (Панама документтери)

Панама документтериндеги чуулгандуу окуя 2015-жылы көзгө илинди, бирок текшерилиши керек болгон миллиондогон документтердин айынан, ал 2016-жылы жарылып кеткен. Ачыкка чыккан саясатчылар, бай ишкерлер, атактуу адамдар жана коомдун крем-де-ла креми кандайча сакталып калгандыгы аныкталды. алардын акчалары оффшордук эсептерде. Көбүнчө, бул көлөкөлүү жана этикалык чекти кесип өткөн. Моссак-Фонсека жашыруун сырларга адистешкен уюм болсо дагы, анын маалыматтык коопсуздук стратегиясы дээрлик жок болчу. Башында, алар колдонгон WordPress сүрөт слайд плагиндери эскирген. Экинчиден, алар 3 жаштагы Друпалды белгилүү кемчиликтер менен колдонушкан. Таң калыштуусу, уюмдун администраторлору бул маселелерди эч качан чечишпейт.

алчу сабактар:

  • > ар дайым CMS платформаларыңыздын, плагиндериңиздин жана темаларыңыздын жаңыртылып турушун камсыз кылыңыз.
  • акыркы CMS коопсуздук коркунучтары менен жаңыртылып туруңуз. Joomla, Drupal, WordPress жана башка кызматтар бул үчүн маалымат базаларына ээ.
  • > Бардык плагиндерди иштеп чыгып, аларды иштетүүдөн мурун сканерлеңиз

Экинчи жагдай: PayPal профилиндеги сүрөт

Флориан соту (француз программалык камсыздоо инженери) PayPalдин жаңы сайты - PayPal.meде CSRF (сайтты жасалмалоо талабы) жасалмалуулугун аныктаган. Дүйнөлүк онлайн-төлөм гиганты PayPal.me программасын тезирээк төлөмдөрдү жеңилдетүү үчүн ачты. Бирок, PayPal.me колдонулушу мүмкүн. Флориан колдонуучунун профил сүрөтүн жаңыртып, CSRF энбелгилерин түзөтүп, атүгүл алып салган. Болгону, кимдир-бирөө, мисалы, Фейсбуктан Интернеттеги сүрөттөрүн алуу менен, кимдир-бирөөнү башка бирөөнү туурай алат.

алчу сабактар:

  • > колдонуучулар үчүн уникалдуу CSRF энбелгилерин колдонуңуз - уникалдуу болуш керек жана колдонуучу кирген сайын өзгөрүлүшү керек.
  • > суроо-талап боюнча токен - жогоруда айтылгандардан тышкары, бул энбелгилер колдонуучу алардан сураганда дагы жеткиликтүү болушу керек. Ал кошумча коргоону камсыз кылат.
  • > убакыттын өтүшү - эсеп бир аз убакытка чейин жигердүү болбой калса, алсыздыгын азайтат.

Үчүнчү окуя: Россиянын Тышкы Иштер Министри XSS уялып жатат

Көпчүлүк веб-чабуулдар уюмдун кирешесине, кадыр-баркына жана трафикине зыян келтирүү максатында жасалган болсо, айрымдары уят болушат. Айта кетүүчү нерсе, Орусияда мындай кылмыш такыр болгон эмес. Мындай болду: Америкалык хакер (Жестер лакап аты менен) Россиянын Тышкы иштер министрлигинин сайтында көргөн сайттын скрипттеринин (XSS) алсыздыгын пайдаланды. Сынакчы шылдыңдап, шылдыңдоону өзүнө ылайыкташтырган аталыштан башка, расмий веб-сайттын көз-карашын чагылдырган бүдөмүк вебсайт түздү.

алчу сабактар:

  • HTML белгилөөнү тазалоо
  • > тастыктамайынча маалыматтарды киргизбеңиз
  • Тилдин (JavaScript) маалымат маанилерине ишенимсиз маалыматтарды киргизүүдөн мурун JavaScript качуусун колдонуңуз
  • > DOMге негизделген XSS чабуулдарынан коргойбуз

mass gmail