要牢記三個Web應用程序安全性教訓。塞瑪特專家知道如何避免成為網絡罪犯的受害者

2015年,Ponemon Institute發布了一項研究“網絡犯罪成本”的調查結果, 他們進行的。毫無疑問,網絡犯罪的成本在增加。但是,這些數字是斷斷續續的。 網絡安全風險投資公司(全球企業集團)預計,這一成本每年將達到6萬億美元。平均而言,這需要一個組織 在網絡犯罪發生後的31天內反彈,修復費用約為639 500美元。

您是否知道拒絕服務(DDOS攻擊),基於Web的破壞和惡意 內部人員佔所有網絡犯罪成本的55%?這不僅對您的數據構成威脅,而且可能使您損失收入。

Frank Abagnale,客戶成功經理 Semalt Digital Services,提議考慮以下2016年發生的三起違規事件。

第一種情況:Mossack-Fonseca(巴拿馬文件)

Panama Papers醜聞在2015年備受矚目,但由於 數以百萬計的必須經過篩選的文件在2016年被吹散。洩漏事件揭示了政客,富商, 名人和社會最高榮譽將他們的錢存入離岸賬戶。通常,這是陰暗的,違反了道德規範 線。儘管Mossack-Fonseca是一家致力於保密的組織,但其信息安全策略幾乎不存在。 首先,他們使用的WordPress圖片幻燈片插件已過時。其次,他們使用了3歲的具有已知漏洞的Drupal。 令人驚訝的是,組織的系統管理員從未解決這些問題。

經驗教訓:

  • >始終確保您的CMS平台,插件和主題定期更新。
  • >保持最新,以提供最新的CMS安全威脅。 Joomla,Drupal,WordPress等 服務具有用於此的數據庫。
  • >在實現並激活它們之前先掃描所有插件

第二種情況:PayPal的個人資料圖片

Florian Courtial(法國軟件工程師)發現了CSRF(跨站點請求偽造) PayPal的新站點PayPal.me中的漏洞。這家全球在線支付巨頭髮布了PayPal.me,以促進更快的支付。然而, PayPal.me可能被利用。 Florian能夠編輯甚至刪除CSRF令牌,從而更新了用戶的個人資料圖片。因為它 是,任何人都可以通過在網上說自己的照片(例如來自Facebook)來冒充他人。

經驗教訓:

  • >為用戶使用唯一的CSRF令牌-這些令牌應該是唯一的,並且在用戶登錄時會更改。
  • 每個請求
  • >令牌–除上述要點外,還應使這些令牌可用 當用戶要求時。它提供了額外的保護。
  • >超時–如果帳戶在一段時間內保持非活動狀態,則可以減少漏洞。

第三種情況:俄羅斯外交部面臨XSS的尷尬

雖然大多數網絡攻擊旨在破壞組織的收入,聲譽, 和交通,有些是尷尬的。舉個例子,俄羅斯從未發生過這種黑客攻擊。這就是發生的事情:一名美國黑客 (暱稱Jester)利用了他在俄羅斯外交部網站上看到的跨站點腳本(XSS)漏洞。的 傑斯特(Jester)創建了一個虛擬網站,該網站模仿了官方網站的外觀,但標題是由他定制的,目的是為了製作一個 他們的嘲弄。

經驗教訓:

  • >清理HTML標記
  • >除非您進行驗證,否則請勿插入數據
  • >使用JavaScript轉義,然後再在語言(JavaScript)數據值中輸入不受信任的數據
  • >保護您免受基於DOM的XSS漏洞

mass gmail