Tre säkerhetslektioner för webbapplikationer att tänka på. Semalt Expert vet hur man undviker att bli ett offer för cyberbrottslingar

2015 släppte Ponemon-institutet resultat från en studie "Cost of Cyber Crime", som de hade genomfört. Det kom inte som någon överraskning att kostnaderna för cyberbrott ökade. Men siffrorna stammade. Cybersecurity Ventures (global konglomerat) beräknar att denna kostnad kommer att uppgå till 6 biljoner dollar per år. I genomsnitt tar det en organisation 31 dagar att studsa tillbaka efter ett cyberbrott med kostnaderna för sanering på cirka 639 500 dollar.

Visste du att avslag på tjänster (DDOS-attacker), webbaserade överträdelser och skadliga insiders utgör 55% av alla cyberbrottkostnader? Detta utgör inte bara ett hot mot dina data utan kan också göra att du förlorar intäkter.

Frank Abagnale, kundframgångschef för Semalt Digital Services, erbjuder att överväga följande tre fall av överträdelser som gjordes 2016.

Första fallet: Mossack-Fonseca (The Panama Papers)

Panama Papers-skandalen bröt i rampljuset 2015, men på grund av de miljoner dokument som måste siktas igenom, blåste den 2016. Läckan avslöjade hur politiker, rika affärsmän, kändisar och samhällets creme de la creme lagrade sina pengar på offshore-konton. Ofta var detta skuggigt och korsade den etiska linjen. Även om Mossack-Fonseca var en organisation som specialiserat sig på sekretess var dess strategi för informationssäkerhet nästan obefintlig. Till att börja med var WordPress-bildspelet-plugin som de använde föråldrad. För det andra använde de en 3-årig Drupal med kända sårbarheter. Överraskande nog löser organisationens systemadministratörer aldrig dessa problem.

lektioner:

  • > Se alltid till att dina CMS-plattformar, plugins och teman uppdateras regelbundet.
  • > hålla dig uppdaterad med de senaste CMS-säkerhetshoten. Joomla, Drupal, WordPress och andra tjänster har databaser för detta.
  • > skanna alla plugins innan du implementerar och aktiverar dem

Andra fallet: PayPal profilbild

Florian Courtial (en fransk mjukvaruingenjör) hittade en CSRF-sårbarhet (säkerhetsförfalskning på flera webbplatser) på PayPal nyare webbplats, PayPal.me. Den globala betalningsjätten online avslöjade PayPal.me för att underlätta snabbare betalningar. PayPal.me kan dock utnyttjas. Florian kunde redigera och till och med ta bort CSRF-tokenet och därmed uppdatera användarens profilbild. Som det var, vem som helst kunde efterge sig någon annan genom att få sin bild online säga till exempel från Facebook.

lektioner:

  • > utnyttja unika CSRF-symboler för användare - dessa bör vara unika och ändras när användaren loggar in.
  • > token per förfrågan - förutom punkten ovan, bör dessa tokens också göras tillgängliga när användaren begär dem. Det ger ytterligare skydd.
  • > timing out - minskar sårbarheten om kontot förblir inaktivt under en tid.

Tredje fallet: Det ryska utrikesministeriet står inför en XSS-förlägenhet

Medan de flesta webbattacker är avsedda att förgöra en organisations intäkter, rykte och trafik, är vissa avsedda att generera. I förekommande fall hacket som aldrig hände i Ryssland. Det här är vad som hände: en amerikansk hackare (smeknamnet Jester) utnyttjade sårbarheten för cross site scripting (XSS) som han såg på Rysslands webbplats för utrikesministeriets webbplats. Skötaren skapade en dummy webbplats som efterliknade utsikterna för den officiella webbplatsen med undantag för rubriken, som han anpassade för att göra en hån mot dem.

lektioner:

  • > sanera HTML-markeringen
  • > infoga inte data såvida du inte verifierar det
  • > använd en JavaScript-flykt innan du anger otillförlitliga data i språkets (JavaScript) datavärden
  • > skydda dig från DOM-baserade XSS-sårbarheter

mass gmail