Back to Question Center
0

3つのWebアプリケーションセキュリティレッスンを心に留めてください。 Semaltエキスパートは、サイバー犯罪者の被害者にならないようにする方法を知っています

1 answers:
(0)(1)(2)(3)(2)(5)(6)(7)ポエモン研究所は、2015年に「サイバー犯罪の費用」という調査結果を発表した。彼らは彼らが行った。サイバー犯罪の費用が増加していることは驚くことではありません。しかし、数字は吃音だった。サイバーセキュリティベンチャー(グローバルコングロマリット)は、このコストが年間6兆ドルに達すると予測しています。平均して、それは組織を取るサイバー犯罪の後、約639ドルで修復の費用を返すために31日間。(8)(7)サービス拒否(DDoS攻撃)、ウェブベースの違反、悪意のある攻撃サイバー犯罪コストの55%はインサイダーが占めていますか?これはあなたのデータに脅威を与えるだけでなく、収益を失う可能性もあります。(8)(7)フランク・アバニャーレ(Frank Abagnale)(12)セマルト(13)デジタルサービスは、2016年に行われた以下の3つの違反の事例を考慮します。(8)(2)(16)(6)(18)第1のケース:Mossack-Fonseca(パナマ論文)(19)(7)パナマ論文のスキャンダルは2015年に脚光を浴びたが、何百万もの文書が盗まれなければならなかったが、それは2016年に爆破された。この漏洩は、政治家、裕福なビジネスマン、有名人や社会のクリーム・デ・ラ・クリームは、お金をオフショアの口座に保管していました。しばしば、これは日陰であり、倫理的であったライン。 Mossack-Fonsecaは機密保護に特化した組織でしたが、その情報セキュリティ戦略はほとんど存在しませんでした。まずは、使用したWordPress画像スライドプラグインが古くなっていた。第2に、彼らは既知の脆弱性を持つ3歳のDrupalを使いました。意外にも、組織のシステム管理者はこれらの問題を決して解決しません。(8)(7)(23)レッスン:(24)(8)(26)(27)(28)は常に、CMSプラットフォーム、プラグイン、およびテーマが定期的に更新されるようにします。.(29)(30)(27)(28)最新のCMSセキュリティの脅威が更新されたままになります。 Joomla、Drupal、WordPressなどサービスにはこのためのデータベースがあります。(29)(30)(27)(28)すべてのプラグインを実装してアクティブ化する前にスキャンする(29)(30)(39)(2)(41)(6)(18)2番目のケース:PayPalのプロフィール画像(19)(7)Florian Courtial(フランスのソフトウェアエンジニア)がCSRF(クロスサイトリクエスト偽造)PayPalの新しいサイトPayPal.meの脆弱性グローバルなオンライン決済機関は、PayPal.meを発表し、より迅速な支払いを可能にした。しかしながら、PayPal.meは悪用される可能性があります。 FlorianはCSRFトークンを編集し、削除してユーザーのプロフィール画像を更新することさえできました。それで誰かがFacebookなどから写真をオンラインで取得して誰かを偽装する可能性がありました。(8)(7)(23)レッスン:(24)(8)(26)(29)(30)(27)(28)ユーザのためのユニークなCSRFトークンを利用する。(27)(28)要求ごとのトークン - 上記の点以外は、これらのトークンも利用可能にする必要がありますユーザーがそれらを要求したとき。追加保護を提供します。(29)(30)(27)(28)タイムアウト - アカウントがしばらくの間アクティブでない場合、脆弱性を軽減する(29)(30)(39)(2)(66)(6)(18)第3のケース:ロシア外務省はXSSの恥ずかしさに直面している(19)(7)ほとんどのウェブ攻撃は、組織の収益、評判、そしてトラフィック、いくつかは恥ずかしいことを意味します。事例として、ロシアでは決して起こらなかったハック。これが起こったことです:アメリカのハッカー(Jesterというニックネーム)は、ロシア外務省のウェブサイトで見たクロスサイトスクリプティング(XSS)の脆弱性を悪用した。ザジェスターは、見出しを除いて公式ウェブサイトの見通しを模倣したダミーのウェブサイトを作成しました。それらの嘲笑。(8)(7)(23)レッスン:(24)(8)(26)(27)(28)HTMLマークアップを消毒する(29)(30)(27)(28)あなたがそれを確認しなければデータを挿入しないでください(29)(30)(JavaScript)データ値(29)(30)で信頼できないデータを入力する前に、JavaScriptエスケープを使用してください(27)(28)(27)(28)DOMベースのXSS脆弱性から身を守る(29)(30)(39)(6)(6)
November 28, 2017
3つのWebアプリケーションセキュリティレッスンを心に留めてください。 Semaltエキスパートは、サイバー犯罪者の被害者にならないようにする方法を知っています
Reply