तीन वेब अनुप्रयोग सुरक्षा को ध्यान में रखने के लिए पाठ। सेमल्ट एक्सपर्ट जानता है कि साइबर अपराधियों का शिकार बनने से कैसे बचा जाए

2015 में, पोनमॉन इंस्टीट्यूट ने एक अध्ययन "साइबर अपराध की लागत" से निष्कर्ष जारी किया, जो उन्होंने आयोजित किया था। यह कोई आश्चर्य की बात नहीं थी कि साइबर अपराध की लागत बढ़ रही थी। हालांकि, आंकड़े हकलाने वाले थे। साइबरस्पेस वेंचर्स (वैश्विक समूह) परियोजनाएं बताती हैं कि यह लागत प्रति वर्ष $ 6 ट्रिलियन को प्रभावित करेगी। औसतन, यह एक साइबर अपराध के बाद वापस भेजने के लिए 31 दिनों का समय लेता है, जिसमें रीमेडिएशन की लागत लगभग $ 639 500 है।

क्या आप जानते हैं कि सेवा से इनकार (DDOS हमले), वेब आधारित उल्लंघनों और दुर्भावनापूर्ण अंदरूनी सूत्र सभी साइबर अपराध लागतों के 55% के लिए बनाते हैं? इससे न केवल आपके डेटा को खतरा है, बल्कि इससे आपको राजस्व की हानि भी हो सकती है।

फ्रैंक एग्नाले , सेमल्ट डिजिटल सर्विसेज के ग्राहक सफलता प्रबंधक, 2016 में किए गए उल्लंघनों के निम्नलिखित तीन मामलों पर विचार करने की पेशकश करते हैं।

पहला मामला: मोसैक-फोंसेका (पनामा पेपर्स)

पनामा पेपर्स कांड 2015 में सुर्खियों में आ गया था, लेकिन लाखों दस्तावेजों की वजह से इसे तोड़ दिया गया था, 2016 में इसे उड़ा दिया गया था। लीक से पता चला कि राजनेताओं, धनी व्यापारियों, मशहूर हस्तियों और समाज के सबसे महान डे ला क्रीम का संग्रह कैसे किया गया था अपतटीय खातों में उनका पैसा। अक्सर, यह छायादार था और नैतिक रेखा को पार कर गया था। हालांकि मोसैक-फोंसेका एक संगठन था जो गोपनीयता में विशेष था, इसकी सूचना सुरक्षा रणनीति लगभग गैर-मौजूद थी। एक शुरुआत के लिए, वर्डप्रेस छवि स्लाइड प्लगइन जो उन्होंने उपयोग किया था वह पुराना था। दूसरे, उन्होंने ज्ञात कमजोरियों के साथ एक 3 वर्षीय ड्रुपल का उपयोग किया। हैरानी की बात है कि संगठन के सिस्टम प्रशासक कभी भी इन मुद्दों को हल नहीं करते हैं।

सबक:

  • > हमेशा सुनिश्चित करें कि आपके सीएमएस प्लेटफॉर्म, प्लगइन्स और थीम नियमित रूप से अपडेट किए जाते हैं।
  • > नवीनतम सीएमएस सुरक्षा खतरों से अपडेट रहें। जूमला, ड्रुपल, वर्डप्रेस और अन्य सेवाओं के लिए इसके डेटाबेस हैं।
  • > लागू करने और उन्हें सक्रिय करने से पहले सभी प्लगइन्स को स्कैन करें

दूसरा मामला: पेपल की प्रोफ़ाइल तस्वीर

फ्लोरियन कोर्टियल (एक फ्रांसीसी सॉफ्टवेयर इंजीनियर) को पेपाल की नई साइट पेपाल.मे में सीएसआरएफ (क्रॉस साइट रिक्वेस्ट फर्जी) भेद्यता मिली। वैश्विक ऑनलाइन भुगतान दिग्गज ने तेजी से भुगतान की सुविधा के लिए PayPal.me का अनावरण किया। हालाँकि, PayPal.me का फायदा उठाया जा सकता है। फ्लोरियन को संपादित करने में सक्षम था और यहां तक कि सीएसआरएफ टोकन को हटा दिया था जिससे उपयोगकर्ता की प्रोफ़ाइल तस्वीर अपडेट हो गई थी। जैसा कि यह था, कोई भी किसी और को अपनी तस्वीर ऑनलाइन करके कह सकता है कि उदाहरण के लिए फेसबुक से।

सबक:

  • > उपयोगकर्ताओं के लिए अद्वितीय CSRF टोकन का लाभ उठाएं - जब भी उपयोगकर्ता लॉग इन करे, तो यह अद्वितीय और परिवर्तित होना चाहिए।
  • > प्रति अनुरोध टोकन - उपरोक्त बिंदु के अलावा, ये टोकन भी उपलब्ध होना चाहिए जब उपयोगकर्ता उनके लिए अनुरोध करता है। यह अतिरिक्त सुरक्षा प्रदान करता है।
  • > समय समाप्त हो जाने पर - भेद्यता कम हो जाती है यदि खाता कुछ समय के लिए निष्क्रिय रहता है।

तीसरा मामला: रूसी विदेश मंत्रालय एक XSS शर्मिंदगी का सामना करता है

जबकि अधिकांश वेब हमलों के लिए एक संगठन के राजस्व, प्रतिष्ठा, और यातायात को कहर बरपाना है, कुछ को शर्मिंदा करने के लिए हैं। बिंदु में मामला, हैक जो रूस में कभी नहीं हुआ। यह वही हुआ है: एक अमेरिकी हैकर (जस्टर का नाम) ने क्रॉस साइट स्क्रिप्टिंग (XSS) भेद्यता का शोषण किया जो उसने रूस के विदेश मंत्रालय की वेबसाइट पर देखा था। जस्टर ने एक डमी वेबसाइट बनाई जो हेडलाइन को छोड़कर आधिकारिक वेबसाइट के दृष्टिकोण की नकल करती थी, जिसे उन्होंने उनका मजाक बनाने के लिए अनुकूलित किया था।

सबक:

  • > HTML मार्कअप को सैनिटाइज करें
  • > जब तक आप इसे सत्यापित नहीं करते तब तक डेटा न डालें
  • > भाषा के (जावास्क्रिप्ट) डेटा मूल्यों में अविश्वसनीय डेटा दर्ज करने से पहले एक जावास्क्रिप्ट भागने का उपयोग करें
  • > खुद को DOM आधारित XSS कमजोरियों से बचाएं

mass gmail