Back to Question Center
0

Гурван вэб програмын аюулгүй байдлын сургамжууд. Цөлийн гэмт хэрэгтнүүдийн хохирогч болохоос зайлсхийх зорилгоор яаралтай арга барилыг эзэмшдэг

1 answers:

2015 онд Ponemon институтээс "Кибер гэмт хэргийн өртөг"Тэдний явуулсан юм. Энэ нь кибер гэмт хэргийн зардал өссөн нь гайхмаар зүйл биш юм. Гэсэн хэдий ч тоонууд нь өчүүхэн төдий байсан юм.Cybersecurity Ventures (дэлхийн конгломерат) төслийг хэрэгжүүлэхэд жилд 6 триллион долларын өртөгтэй байх болно - open wardrobe australia. Дунджаар энэ нь байгууллага шаардагданаКибер гэмт хэргээс хойш 31 хоногийн дараа нөхөн сэргээлтийн зардалд 639 доллар зарцуулсан байна.

Үйлчилгээг үгүйсгэх (DDOS халдлага), вэб дээр суурилсан зөрчил, хортой гэдгийг та мэдэх үү?Интернетэд оролцогчдын кибер гэмт хэргийн зардлын 55% -ийг бүрдүүлдэг. Энэ нь зөвхөн таны өгөгдөлд аюул занал учруулж зогсохгүй мөн орлогоо алдах болно.

Хэрэглэгчийн Амжилтын Менежер Фрэнк Абрамэйл Semalt Дижитал үйлчилгээ нь 2016 онд хийгдсэн зөрчлийг дараах 3 тохиолдлыг авч үзэх саналыг санал болгож байна.

Нэгдүгээрт: Моссак-Фонсек (Панамын баримтууд)

2015 онд Панамын цаасан дуулиан шуугиан дэгдээсэнСая сая баримт бичгийг нарийвчлан боловсруулах шаардлагатай байсан юм. 2016 онд үүнийг үгүйсгэсэн. Улс төрчид, чинээлэг бизнес эрхлэгчид,одууд болон нийгмийн бүлгүүд өөрсдийнхөө гадаад дахь дансаа хадгалж үлдээжээ. Ихэнхдээ энэ нь сүүдэртэй, ёс суртахуунтай байсаншугам. Хэдийгээр Моссак-Фонсек нь нууцлалыг мэргэшсэн байгууллага байсан боловч мэдээллийн аюулгүй байдлын стратеги бараг байхгүй байсан.Эхлэхийн тулд хэрэглэж байсан WordPress зураг слайд нь хоцрогдсон байсан. Хоёрдугаарт, тэд 3 настай Drupal-ыг эмзэг байдлыг мэддэг байсан.Гайхалтай нь, байгууллагын системийн администраторууд эдгээр асуудлуудыг шийддэггүй.

Хичээл:

  • > таны CMS платформууд, залгаасууд болон сэдвүүд байнга шинэчлэгддэг гэдгийг байнга шалгаж байх хэрэгтэй..
  • > хамгийн сүүлийн үеийн CMS-ийн аюулгүй байдлын аюул заналхийлсэн шинэчлэгдэж байх. Joomla, Drupal, WordPress болон бусадүйлчилгээнд зориулсан мэдээллийн сантай байна
  • > ажиллуулахаасаа өмнө бүх залгаасуудыг шалгаж

Хоёрдугаарт: PayPal-ийн профайл зураг

Florian Courtial (франц програм хангамжийн инженер) CSRF (хөндлөнгийн хүсэлтийг завших)PayPal-ийн шинэ сайт дахь эмзэг байдал, PayPal.me. Глобал онлайн төлбөрийн аварга PayPal.me нь төлбөрийн хурдыг нэмэгдүүлэхэд зориулж гаргасан. Гэсэн хэдий ч,PayPal.me ашиглаж болно. Florian CSRF тэмдгийг арилгаж, улмаар хэрэглэгчийн профайл зургийг шинэчлэх боломжтой болсон. Энэ ньФэйсбүүкээс жишээлбэл онлайнаар зураг зурахдаа хэн нэгнийг дуурайж болно.

Хичээл:

  • > нь хэрэглэгчид зориулагдсан CSRF жетонуудыг ашигладаг - эдгээр нь өвөрмөц байх ёстой бөгөөд хэрэглэгч нэвтрэх бүрт өөрчлөлт орно
  • > токен дээр хүсэлт гаргах - дээр дурдсанаас бусад нь эдгээр жетонууд бас боломжтой байх ёстойХэрэглэгч хүссэн үедээ. Энэ нь нэмэлт хамгаалалт болдог.
  • > хугацааг хойшлуулах нь дансны үлдэгдэл хэсэг хугацаанд идэвхгүй байвал эмзэг байдлыг багасгадаг.

Гуравдугаарт: ОХУ-ын ГХЯ-ны ХМС-ийн гажиг

Ихэнх вэб халдлага нь байгууллагын орлого, нэр хүнд,Замын хөдөлгөөн, зарим нь ичгүүрт хүргэдэг. ОХУ-д хэзээ ч тохиолдож байгаагүй хакердсан тохиолдол. Энэ бол АНУ-ын хакер болсон юм(Jester) нэртэй загалмайтны скрипт (XSS) -ийг ашиглан ОХУ-ын Гадаад хэргийн сайдын яамны сайт дээр харсан. Ньjester нь албан ёсны вэбсайтын хэтийн төлөвийг дуурайсан хуурамч вэбсайтыг үүсгэсэнТэднийг дооглон тохуурхаж байв.

Хичээл:

  • > HTML тэмдэглэгээг ариутгана
  • > үүнийг шалгахаас бусад мэдээллийг оруулахгүй
  • > хэлний (JavaScript) өгөгдлийн утгуудаар итгэмлэгдээгүй өгөгдөл оруулахаасаа өмнө JavaScript зугтах
  • > DOM-д суурилсан XSS эмзэг байдлаас өөрсдийгөө хамгаална
November 28, 2017