Back to Question Center
0

سه درس امنیتی کاربردی برای حفظ ذهن. متخصص Semalt می داند که چگونه از قربانی مجرمان سایبری جلوگیری شود

1 answers:

در سال 2015، موسسه Ponemon منتشر شد یافته های مطالعه "هزینه جرایم اینترنتی"که آنها انجام داده اند. جای تعجب نیست که هزینه جرایم اینترنتی افزایش یافته است. با این حال، ارقام لکنت داشتندپروژه های Cybersecurity Creatures (Conglomerate Global) پروژه های این هزینه را 6 تریلیون دلار در سال خواهد داشت. به طور متوسط، یک سازمان نیاز دارد31 روز پس از جراحی سایبری پس از بازپس گیری هزینه حدود 639 500 دلار بازپس می شود.

آیا می دانستید که انکار سرویس (حملات DDOS)، نقض های مبتنی بر وب و مخرب استخودی ها 55٪ از تمام هزینه های جرایم اینترنتی را تشکیل می دهند؟ این نه تنها تهدیدی برای داده های شماست، بلکه می تواند درآمد شما را از دست دهد.

Frank Abagnale، مدیر موفقیت مشتری Semalt خدمات دیجیتال، پیشنهاد می دهد که سه مورد از نقض های انجام شده در سال 2016 را در نظر بگیریم.

پرونده اول: موزاک-فونسکا (مقاله پاناما)

رسوایی مقاله های پاناما در سال 2015 شکسته شد، اما به دلیلمیلیون ها اسناد که باید از بین برده شوند، در سال 2016 منفجر شد. نشت نشان داد که چگونه سیاستمداران، بازرگانان ثروتمند،افراد مشهور و Creme de la creme جامعه پول خود را در حسابهای دریایی ذخیره کردند. اغلب این سایه دار بود و از اخلاق عبور کردخط اگرچه Mossack-Fonseca یک سازمان است که در زمینه حفظ و نگهداری اسرار آمیز فعالیت می کند، اما استراتژی امنیت اطلاعات آن تقریبا غیرممکن است.برای شروع، افزونه وردپرس Slide Slide که استفاده می شد، منسوخ شده بود. ثانیا، آنها دروپال 3 ساله با آسیب پذیری های شناخته شده را استفاده می کردند.بدیهی است که مدیران این سازمان هرگز این مسائل را حل نمی کنند.

درسها:

  • > همیشه اطمینان حاصل کنید که سیستم عامل ها، پلاگین ها و تم های CMS شما به طور مرتب به روز می شوند..
  • > با آخرین تهدیدات امنیتی CMS به روز می شود. جوملا، دروپال، وردپرس و غیرهخدمات پایگاه داده برای این است.
  • > تمام پلاگین ها را قبل از اجرای و فعال کردن آنها

مورد دوم: تصویر پروفایل PayPal

Florian Courtial (یک مهندس نرم افزار فرانسوی) یک CSRF (جعلی درخواست متقابل سایت)آسیب پذیری در سایت جدیدتر پی پال، PayPal.me. غول پرداخت آنلاین جهانی، PayPal.me را برای تسهیل پرداخت سریع تر، معرفی کرد. با این حال،PayPal.me می تواند مورد سوء استفاده قرار گیرد. فلورین قادر بود تا علامت CSRF را ویرایش و حتی حذف کرده و در نتیجه به روز رسانی تصویر نمایه کاربر. همانطور کهاین بود که هر کسی می توانست با استفاده از عکس های خود به عنوان مثال از فیس بوک شخص دیگری را جعل کند.

درسها:

  • > استفاده از نشانه های CSRF منحصر به فرد برای کاربران - این باید منحصر به فرد و تغییر هر زمان که کاربر ورود به سیستم
  • > در هر درخواست - به غیر از نقطه بالا، این نشانه ها نیز باید در دسترس قرار گیردزمانی که کاربر برای آنها درخواست می کند. این حفاظت اضافی را فراهم می کند.
  • > زمانبندی - آسیب پذیری را کاهش می دهد اگر حساب برای مدت زمان طولانی غیر فعال باشد.

پرونده سوم: وزارت امور خارجه روسیه با مشکوک XSS مواجه است

در حالی که بیشتر حملات اینترنتی به معنای ویرانی درآمد، شهرت،و ترافیک، برخی به معنی خجالت می کشند مورد در مورد، هک که هرگز در روسیه اتفاق افتاده است. این اتفاق افتاد: یک هکر آمریکایی(نام مستعار Jester) از آسیب پذیری متقابل اسکریپت های سایت (XSS) که در وب سایت وزارت امور خارجه روسیه دیده می شود، مورد سوء استفاده قرار گرفته است. اینJester یک وب سایت ساختگی را ایجاد کرد که چشم انداز وب سایت رسمی را به نمایش گذاشت، به غیر از عنوان، که او سفارشی ساختن یکترس از آنها.

درسها:

  • > نشانه گذاری HTML
  • > اطلاعات را وارد نکنید مگر اینکه شما آن را تأیید کنید
  • > قبل از وارد کردن داده های نامعتبر در مقادیر داده زبان (جاوا اسکریپت) از فرار جاوا اسکریپت استفاده کنید
  • > خود را از آسیب پذیری XSS مبتنی بر DOM محافظت
November 28, 2017
سه درس امنیتی کاربردی برای حفظ ذهن. متخصص Semalt می داند که چگونه از قربانی مجرمان سایبری جلوگیری شود
Reply