Tre sikkerhedslektioner for webapplikationer at huske på. Semalt-ekspert ved, hvordan man undgår at blive offer for cyberkriminelle

I 2015 frigav Ponemon Institute fundet fra en undersøgelse "Cost of Cyber Crime", som de havde foretaget. Det kom ikke som nogen overraskelse, at udgifterne til cyberkriminalitet steg. Tallene stammede dog. Cybersecurity Ventures (globalt konglomerat) projicerer, at disse omkostninger vil ramme $ 6 billioner pr. År. I gennemsnit tager det en organisation 31 dage at hoppe tilbage efter en cyber-kriminalitet med omkostningerne til afhjælpning på omkring $ 639 500.

Vidste du, at benægtelse af service (DDOS-angreb), webbaserede overtrædelser og ondsindede insidere udgør 55% af alle omkostninger til cyberkriminalitet? Dette udgør ikke kun en trussel mod dine data, men kan også få dig til at miste indtægterne.

Frank Abagnale, Customer Success Manager for Semalt Digital Services, tilbyder at overveje de følgende tre tilfælde af overtrædelser foretaget i 2016.

Første sag: Mossack-Fonseca (Panamapapirerne)

Panama Papers-skandalen brød ind i rampelyset i 2015, men på grund af de millioner af dokumenter, der måtte sigtes igennem, blev det sprængt i 2016. Lækagen afslørede, hvordan politikere, velhavende forretningsfolk, berømtheder og creme de la creme i samfundet lagrede deres penge på offshore-konti. Ofte var dette lyssky og krydsede den etiske linje. Selvom Mossack-Fonseca var en organisation, der specialiserede sig i hemmeligholdelse, var dens informationssikkerhedsstrategi næsten ikke-eksisterende. Til at starte med var WordPress-image dias-plugin, de brugte, forældet. For det andet brugte de en 3-årig Drupal med kendte sårbarheder. Overraskende løser organisationens systemadministratorer aldrig disse problemer.

Undervisning:

  • > Sørg altid for, at dine CMS-platforme, plugins og temaer regelmæssigt opdateres.
  • > hold dig opdateret med de nyeste CMS-sikkerhedstrusler. Joomla, Drupal, WordPress og andre tjenester har databaser til dette.
  • > Scan alle plugins, før du implementerer og aktiverer dem

Andet tilfælde: PayPal's profilbillede

Florian Courtial (en fransk softwareingeniør) fandt en CSRF (cross site anmodning om forfalskning) på PayPal's nyere side, PayPal.me. Den globale online betalingsgigant afslørede PayPal.me for at lette hurtigere betalinger. PayPal.me kunne dog udnyttes. Florian var i stand til at redigere og endda fjerne CSRF-tokenet og derved opdatere brugerens profilbillede. Som det var, kunne nogen forlade sig en anden ved at få deres billede online siger f.eks. Fra Facebook.

Undervisning:

  • > benyt unikke CSRF-tokens for brugere - disse skal være unikke og ændre sig, når brugeren logger ind.
  • > token pr. anmodning - bortset fra ovenstående punkt, skal disse tokens også gøres tilgængelige, når brugeren anmoder om dem. Det giver ekstra beskyttelse.
  • > timing out - reducerer sårbarheden, hvis kontoen forbliver inaktiv i nogen tid.

Tredje sag: Det russiske udenrigsministerium står over for en XSS-forlegenhed

Mens de fleste webangreb er beregnet til at skabe en ødelæggelse af en organisations indtægter, omdømme og trafik, er nogle beregnet til at genere. I givet fald hacket, der aldrig skete i Rusland. Dette er, hvad der skete: en amerikansk hacker (kaldet kalden Jester) udnyttede sårbarheden på tværs af scripting (XSS), som han så på Ruslands ministerium for udenrigsministerier. Ryderen oprettede et dummy-websted, der efterlod synspunktet på det officielle websted bortset fra overskriften, som han tilpassede for at gøre en hån ved dem.

Undervisning:

  • > Rense HTML-markeringen
  • > Indsæt ikke data, medmindre du bekræfter dem
  • > Brug en JavaScript-flugt, før du indtaster ikke-betroede data i sprogets (JavaScript) dataværdier
  • > beskyt dig selv mod DOM-baserede XSS-sårbarheder

mass gmail