Back to Question Center
0

Gwersi Diogelwch Tri Cais Gwe I Gadw Mewn Meddwl. Mae arbenigwr semalt yn gwybod sut i osgoi dod yn ddioddefwr o droseddwyr seiber

1 answers:

Yn 2015, rhyddhaodd Sefydliad Ponemon ganfyddiadau o astudiaeth "Cost Seiber Trosedd",yr oeddent wedi ei gynnal. Nid oedd yn syndod bod cost troseddau seiber yn cynyddu. Fodd bynnag, roedd y ffigyrau'n syfrdanu.Prosiectau Cybersecurity Ventures (conglomerate byd-eang) y bydd y gost hon yn taro $ 6 triliwn y flwyddyn. Ar gyfartaledd, mae'n cymryd sefydliad31 diwrnod i adael yn ôl ar ôl trosedd seiber gyda chost adfer tua $ 639 500.

Oeddech chi'n gwybod bod gwrthod gwasanaeth (ymosodiadau DDOS), toriadau ar y we a maleisusmae pobl sy'n byw yn gyfystyr â 55% o'r holl gostau troseddau seiber? Mae hyn nid yn unig yn peri bygythiad i'ch data ond gallai hefyd eich gwneud yn colli refeniw - CCTV MONITORING 24H.

Frank Abagnale, Rheolwr Llwyddiant Cwsmer Cymru Semalt Gwasanaethau Digidol, yn cynnig ystyried y tri achos canlynol o doriadau a wnaed yn 2016.

Achos cyntaf: Mossack-Fonseca (The Panama Papers)

Torrodd sgandal Papurau Panama i mewn i gyfyngiadau yn 2015, ond oherwydd ymiliynau o ddogfennau y byddai'n rhaid eu troi allan, fe'i chwistrellwyd yn 2016. Datgelodd y gollyngiad sut mae gwleidyddion, busnesau cyfoethog,enwogion a creme de la creme o gymdeithas yn storio eu harian mewn cyfrifon alltraeth. Yn aml, roedd hyn yn gysgodol ac yn croesi'r moesegolllinell. Er bod Mossack-Fonseca yn sefydliad sy'n arbenigo mewn cyfrinachedd, nid oedd ei strategaeth diogelwch gwybodaeth bron yn bodoli.I ddechrau, roedd yr ategyn sleidiau delwedd WordPress a ddefnyddiwyd ganddynt yn hen. Yn ail, defnyddiant Drupal 3-mlwydd oed gyda gwendidau hysbys.Yn syndod, ni fydd gweinyddwyr y sefydliad yn datrys y materion hyn byth.

Gwersi:

  • > bob amser yn sicrhau bod eich llwyfannau CMS, y plwgiau a'r themâu yn cael eu diweddaru'n rheolaidd..
  • > yn cael eu diweddaru gyda'r bygythiadau diogelwch diweddaraf CMS. Joomla, Drupal, WordPress ac eraillmae gan wasanaethau gronfeydd data ar gyfer hyn.
  • > sganiwch yr holl ategion cyn i chi eu gweithredu a'u hanfon

Ail achos: llun proffil PayPal

Darganfu Florian Courtial (peiriannydd meddalwedd Ffrengig) CSRF (llawdriniaeth cais traws safle)bregusrwydd yn safle newydd PayPal, PayPal.me. Datgelodd y enfawr taliadau ar-lein byd-eang PayPal.me i hwyluso taliadau cyflymach. Fodd bynnag,Gellid manteisio ar PayPal.me. Roedd Florian yn gallu golygu a hyd yn oed symud y tocyn CSRF a thrwy hynny ddiweddaru llun proffil y defnyddiwr. Gan ei fod ynoedd, gallai unrhyw un ddynodi rhywun arall drwy ddweud bod llun ar-lein, er enghraifft, o Facebook.

Gwersi:

  • > yn defnyddio tocynnau CSRF unigryw ar gyfer defnyddwyr - dylai'r rhain fod yn unigryw a newid pryd bynnag y mae'r defnyddiwr yn cofnodi.
  • > i bob cais - ac eithrio'r pwynt uchod, dylai'r tocynnau hyn fod ar gael hefydpan fydd y defnyddiwr yn gofyn amdanynt. Mae'n darparu amddiffyniad ychwanegol.
  • > amseru allan - yn lleihau'r bregusrwydd os yw'r cyfrif yn parhau i fod yn anweithgar ers peth amser.

Trydydd achos: Mae'r Weinyddiaeth Materion Tramor Rwsia yn Ymwneud ag Aflonyddu XSS

Er bod y rhan fwyaf o'r ymosodiadau ar y we yn bwriadu dwyn ffrwyth i refeniw, enw da,a thraffig, mae rhai i olygu embaras. Achos mewn pwynt, y darn nad oedd byth yn digwydd yn Rwsia. Dyma beth ddigwyddodd: haciwr Americanaidd(wedi ei enwi o'r Jester) yn manteisio ar y gallu i wrando ar y sgriptio croes safle (XSS) a welodd ar wefan weinidogaeth Materion Tramor Rwsia. YCreodd jester gwefan ddifrifol a oedd yn mireinio'r rhagolygon ar y wefan swyddogol ac eithrio'r pennawd, y mae wedi'i addasu i wneudffug ohonynt.

Gwersi:

  • > yn sanitize y marc HTML
  • > peidiwch â mewnosod data oni bai eich bod yn ei wirio
  • > yn defnyddio dianc JavaScript cyn i chi fynd i mewn i ddata anhysbys yn nodau data'r iaith (JavaScript)
  • > darianwch eich hun o wendidau XSS sy'n seiliedig ar DOM
November 28, 2017