Back to Question Center
0

3 가지 웹 응용 프로그램 보안 교훈. Semalt 전문가는 사이버 범죄자의 피해자가되는 것을 피하는 방법을 안다.

1 answers:
(삼)

2015 년 Ponemon Institute는 "사이버 범죄 비용"에 관한 연구 결과를 발표했다.그들이 지휘 한 것이다. 사이버 범죄의 비용이 증가하고 있다는 것은 놀라운 일이 아닙니다. 그러나 수치는 말더듬하고 있었다.Cybersecurity Ventures (글로벌 대기업)는이 비용이 연간 6 조 달러에 달할 것이라고 예측합니다. 평균적으로 조직을 필요로합니다.사이버 범죄로 약 $ 639 500의 수정 비용으로 돌아 오는 31 일.

서비스 거부 (DDoS 공격), 웹 기반 침입 및 악의적 인 공격내부자는 모든 사이버 범죄 비용의 55 %를 차지합니까? 이렇게하면 데이터에 위협이 될뿐만 아니라 수익을 잃을 수도 있습니다.

고객 성공 관리자 인 Frank Abagnale 세미 소금 디지털 서비스는 2016 년에 발생한 다음과 같은 세 가지 사례를 고려해야합니다.

첫 번째 경우 : Mossack-Fonseca (파나마 논문)

파나마 논문 스캔들은 2015 년에 각광을 받았지만,수백만 건의 문서가 흘러 나오고 2016 년에 날아갔습니다. 그 누출은 정치가, 부유 한 사업가,유명 인사와 사회의 크림 드 라 크림은 해외 계좌에 돈을 저장했습니다. 종종 이것은 응달이되어 윤리적 인선. Mossack-Fonseca는 기밀을 전문으로하는 조직 이었지만 정보 보안 전략은 거의 존재하지 않았습니다.처음에는 사용했던 WordPress 이미지 슬라이드 플러그인이 오래되었습니다. 둘째, 알려진 취약성이있는 3 년 된 Drupal을 사용했습니다.놀랍게도 조직의 시스템 관리자는 이러한 문제를 해결할 수 없습니다.

수업 :

  • >은 항상 CMS 플랫폼, 플러그인 및 테마가 정기적으로 업데이트되도록합니다.
  • > 최신 CMS 보안 위협 업데이트. Joomla, Drupal, WordPress 및 기타서비스에는 이에 대한 데이터베이스가 있습니다.
  • > 모든 플러그인을 구현하고 활성화하기 전에 스캔

두 번째 케이스 : PayPal의 프로필 사진

Florian Courtial (프랑스 소프트웨어 엔지니어)은 CSRF (크로스 사이트 요청 위조)PayPal의 최신 사이트 인 PayPal.me의 취약점. 글로벌 온라인 결제 회사 인 PayPal.me는 빠른 지불을 용이하게하기 위해 하나,PayPal.me가 악용 될 수 있습니다. Florian은 CSRF 토큰을 편집하고 제거하여 사용자의 프로필 사진을 업데이트했습니다. 그것으로예를 들어 페이스 북에서 온라인으로 사진을 찍어 누군가를 사칭 할 수있었습니다.

수업 :

  • > 사용자를위한 고유 한 CSRF 토큰 - 사용자가 로그인 할 때마다 고유해야하며 변경되어야합니다.
  • 요청 당 토큰
  • > - 위의 점을 제외하고,이 토큰은 또한 이용 가능하게 만들어야한다.사용자가 요청할 때 추가 보호 기능을 제공합니다.
  • > 시간 초과 - 계정이 잠시 동안 비활성 상태 인 경우 취약점을 감소시킵니다.

제 3의 경우 : 러시아 외교부는 XSS 당황에 직면했다.

대부분의 웹 공격은 조직의 매출, 명성,그리고 교통, 일부는 당혹감을 의미합니다. 사례가 있는데, 러시아에서는 결코 일어난 적이없는 해킹입니다. 이것은 일어난 일입니다 : 미국의 해커(Jester라고 별명을 붙인)은 XSS (Cross Site Scripting) 취약점을 악용하여 러시아 외무부 웹 사이트에서 보았습니다. 그만큼jester는 헤드 라인을 제외하고 공식 웹 사이트의 전망을 모방 한 가짜 웹 사이트를 만들었습니다.조롱 거리.

수업 :

  • > HTML 마크 업을 위생
  • > 당신이 그것을 확인하지 않으면 데이터를 삽입하지 마십시오
  • > 신뢰할 수없는 데이터를 언어 (JavaScript) 데이터 값
  • 에 입력하기 전에 JavaScript 이스케이프를 사용하십시오.
  • > DOM 기반 XSS 취약점으로부터 자신을 보호하십시오
November 28, 2017
3 가지 웹 응용 프로그램 보안 교훈. Semalt 전문가는 사이버 범죄자의 피해자가되는 것을 피하는 방법을 안다.
Reply