Tri lekcie zabezpečenia webových aplikácií, ktoré treba mať na pamäti. Expert spoločnosti Semalt vie, ako zabrániť tomu, aby sa stal obeťou počítačových zločincov

V roku 2015 Ponemon Institute vydal zistenia zo štúdie „Náklady na počítačovú kriminalitu“, ktorú vykonali. Nie je žiadnym prekvapením, že náklady na počítačovú trestnú činnosť stúpajú. Čísla však koktali. Projekty Cybersecurity Ventures (globálny konglomerát) projekty, ktoré tieto náklady dosiahnu 6 biliónov dolárov ročne. V priemere trvá organizácii 31 dní, aby sa odrazila po kybernetickom zločine s nákladmi na nápravu približne 639 500 dolárov.

Vedeli ste, že odmietnutie služby (útoky DDOS), porušenia na internete a škodliví zasvätení tvoria 55% všetkých nákladov na počítačovú kriminalitu? To nielenže predstavuje hrozbu pre vaše údaje, ale tiež vás môže prísť o príjmy.

Frank Abagnale, manažér zákazníckeho úspechu spoločnosti Semalt Digital Services, ponúka zváženie nasledujúcich troch prípadov porušení, ku ktorým došlo v roku 2016.

Prvý prípad: Mossack-Fonseca (Panama Papers)

Škandál Panama Papers sa dostal do centra pozornosti v roku 2015, ale kvôli miliónom dokumentov, ktoré sa museli preosiať, bol v roku 2016 prefúknutý. Únik odhalil, ako politici, bohatí podnikatelia, celebrity a creme de la creme spoločnosti ukladajú svoje peniaze na zahraničných účtoch. Často to bolo tienisté a prekročilo etickú hranicu. Hoci Mossack-Fonseca bola organizácia, ktorá sa špecializovala na utajenie, jej stratégia informačnej bezpečnosti takmer neexistovala. Na začiatku bol doplnok obrázkových snímok WordPress, ktorý používali, zastaraný. Po druhé, používali 3-ročného Drupala so známymi zraniteľnými miestami. Prekvapivo, správcovia systému organizácie tieto problémy nikdy nevyriešia.

Poučenie:

  • > vždy sa ubezpečte, že vaše platformy, doplnky a motívy CMS sú pravidelne aktualizované.
  • > zostaňte informovaní o najnovších bezpečnostných hrozbách CMS. Joomla, Drupal, WordPress a ďalšie služby majú databázy na to.
  • > naskenujte všetky doplnky skôr, ako ich implementujete a aktivujete

Druhý prípad: Profilový obrázok PayPal

Florian Courtial (francúzsky softvérový inžinier) našiel zraniteľnosť CSRF (falšovanie žiadostí o krížové žiadosti) na novšom webe PayPal, PayPal.me. Globálny online platobný gigant odhalil PayPal.me, aby uľahčil rýchlejšie platby. Môžete však využiť PayPal.me. Florian bol schopný editovať a dokonca odstrániť token CSRF, čím aktualizoval obrázok profilu používateľa. Ktokoľvek by sa tak mohol vydávať za niekoho iného tým, že dostane jeho fotku online, napríklad z Facebooku.

Poučenie:

  • > využívať jedinečné tokeny CSRF pre používateľov - tieto by mali byť jedinečné a mali by sa meniť vždy, keď sa používateľ prihlási.
  • > token na žiadosť - iné ako vyššie uvedený bod, tieto tokeny by sa mali sprístupniť aj vtedy, keď o ne používateľ požiada. Poskytuje dodatočnú ochranu.
  • > vypršanie časového limitu - znižuje zraniteľnosť, ak je účet nejaký čas neaktívny.

Tretí prípad: Ruské ministerstvo zahraničných vecí čelí rozpakom XSS

Zatiaľ čo väčšina webových útokov má za cieľ vyvolať zmätok v súvislosti s príjmami, reputáciou a prevádzkou organizácie, niektoré z nich sú pre rozpakov. Príkladom je hack, ktorý sa v Rusku nikdy nestal. To sa stalo: americký hacker (prezývaný Jester) zneužil zraniteľnosť skriptovania medzi servermi (XSS), ktorú videl na webovej stránke ruského ministerstva zahraničných vecí. Šašek vytvoril falošný web, ktorý napodobňoval výhľad na oficiálnu webovú stránku s výnimkou nadpisu, ktorý si prispôsobil, aby sa z nich vysmieval.

Poučenie:

  • > dezinfikujte označenie HTML
  • > nevkladajte údaje, kým ich neoveríte
  • > pred zadaním nedôveryhodných údajov do dátových hodnôt jazyka (JavaScript) použite escape kód JavaScript
  • > Chráňte sa pred zraniteľnosťou XSS založenými na DOM

send email