Back to Question Center
0

Gwersi Diogelwch Tri Cais Gwe I Gadw Mewn Meddwl. Mae arbenigwr semalt yn gwybod sut i osgoi dod yn ddioddefwr o droseddwyr seiber

1 answers:

Yn 2015, rhyddhaodd Sefydliad Ponemon ganfyddiadau o astudiaeth "Cost Seiber Trosedd",yr oeddent wedi ei gynnal. Nid oedd yn syndod bod cost troseddau seiber yn cynyddu. Fodd bynnag, roedd y ffigyrau'n syfrdanu.Prosiectau Cybersecurity Ventures (conglomerate byd-eang) y bydd y gost hon yn taro $ 6 triliwn y flwyddyn. Ar gyfartaledd, mae'n cymryd sefydliad31 diwrnod i adael yn ôl ar ôl trosedd seiber gyda chost adfer tua $ 639 500.

Oeddech chi'n gwybod bod gwrthod gwasanaeth (ymosodiadau DDOS), toriadau ar y we a maleisusmae pobl sy'n byw yn gyfystyr â 55% o'r holl gostau troseddau seiber? Mae hyn nid yn unig yn peri bygythiad i'ch data ond gallai hefyd eich gwneud yn colli refeniw.

Frank Abagnale, Rheolwr Llwyddiant Cwsmer Cymru Semalt Gwasanaethau Digidol, yn cynnig ystyried y tri achos canlynol o doriadau a wnaed yn 2016.

Achos cyntaf: Mossack-Fonseca (The Panama Papers)

Torrodd sgandal Papurau Panama i mewn i gyfyngiadau yn 2015, ond oherwydd ymiliynau o ddogfennau y byddai'n rhaid eu troi allan, fe'i chwistrellwyd yn 2016. Datgelodd y gollyngiad sut mae gwleidyddion, busnesau cyfoethog,enwogion a creme de la creme o gymdeithas yn storio eu harian mewn cyfrifon alltraeth. Yn aml, roedd hyn yn gysgodol ac yn croesi'r moesegolllinell. Er bod Mossack-Fonseca yn sefydliad sy'n arbenigo mewn cyfrinachedd, nid oedd ei strategaeth diogelwch gwybodaeth bron yn bodoli.I ddechrau, roedd yr ategyn sleidiau delwedd WordPress a ddefnyddiwyd ganddynt yn hen. Yn ail, defnyddiant Drupal 3-mlwydd oed gyda gwendidau hysbys.Yn syndod, ni fydd gweinyddwyr y sefydliad yn datrys y materion hyn byth.

Gwersi:

  • > bob amser yn sicrhau bod eich llwyfannau CMS, y plwgiau a'r themâu yn cael eu diweddaru'n rheolaidd..
  • > yn cael eu diweddaru gyda'r bygythiadau diogelwch diweddaraf CMS. Joomla, Drupal, WordPress ac eraillmae gan wasanaethau gronfeydd data ar gyfer hyn.
  • > sganiwch yr holl ategion cyn i chi eu gweithredu a'u hanfon

Ail achos: llun proffil PayPal

Darganfu Florian Courtial (peiriannydd meddalwedd Ffrengig) CSRF (llawdriniaeth cais traws safle)bregusrwydd yn safle newydd PayPal, PayPal.me. Datgelodd y enfawr taliadau ar-lein byd-eang PayPal.me i hwyluso taliadau cyflymach. Fodd bynnag,Gellid manteisio ar PayPal.me. Roedd Florian yn gallu golygu a hyd yn oed symud y tocyn CSRF a thrwy hynny ddiweddaru llun proffil y defnyddiwr. Gan ei fod ynoedd, gallai unrhyw un ddynodi rhywun arall drwy ddweud bod llun ar-lein, er enghraifft, o Facebook.

Gwersi:

  • > yn defnyddio tocynnau CSRF unigryw ar gyfer defnyddwyr - dylai'r rhain fod yn unigryw a newid pryd bynnag y mae'r defnyddiwr yn cofnodi.
  • > i bob cais - ac eithrio'r pwynt uchod, dylai'r tocynnau hyn fod ar gael hefydpan fydd y defnyddiwr yn gofyn amdanynt. Mae'n darparu amddiffyniad ychwanegol.
  • > amseru allan - yn lleihau'r bregusrwydd os yw'r cyfrif yn parhau i fod yn anweithgar ers peth amser.

Trydydd achos: Mae'r Weinyddiaeth Materion Tramor Rwsia yn Ymwneud ag Aflonyddu XSS

Er bod y rhan fwyaf o'r ymosodiadau ar y we yn bwriadu dwyn ffrwyth i refeniw, enw da,a thraffig, mae rhai i olygu embaras. Achos mewn pwynt, y darn nad oedd byth yn digwydd yn Rwsia. Dyma beth ddigwyddodd: haciwr Americanaidd(wedi ei enwi o'r Jester) yn manteisio ar y gallu i wrando ar y sgriptio croes safle (XSS) a welodd ar wefan weinidogaeth Materion Tramor Rwsia. YCreodd jester gwefan ddifrifol a oedd yn mireinio'r rhagolygon ar y wefan swyddogol ac eithrio'r pennawd, y mae wedi'i addasu i wneudffug ohonynt.

Gwersi:

  • > yn sanitize y marc HTML
  • > peidiwch â mewnosod data oni bai eich bod yn ei wirio
  • > yn defnyddio dianc JavaScript cyn i chi fynd i mewn i ddata anhysbys yn nodau data'r iaith (JavaScript)
  • > darianwch eich hun o wendidau XSS sy'n seiliedig ar DOM
November 28, 2017
Gwersi Diogelwch Tri Cais Gwe I Gadw Mewn Meddwl. Mae arbenigwr semalt yn gwybod sut i osgoi dod yn ddioddefwr o droseddwyr seiber
Reply