Тры ўрокі бяспекі вэб-прыкладанняў, якія трэба трымаць у розуме. Эксперт Semalt ведае, як пазбегнуць ахвяры кібер-злачынцаў
У 2015 годзе Інстытут Панямоння апублікаваў вынікі даследавання "Кошт кіберзлачыннасці", якое яны правялі. Здзівіла, што кошт кібер-злачынстваў расце. Аднак лічбы заікаліся. Праекты кібербяспекі (сусветны кангламерат), праекты якіх дасягнуць 6 трлн долараў у год. У сярэднім на арганізацыю патрабуецца 31 дзень, каб вярнуць злачынствы пасля кібер-злачынстваў, кошт аздараўлення - каля 639 500 долараў.
Ці ведаеце вы, што адмова ў абслугоўванні (DDOS-атакі), парушэнні ў Інтэрнэце і шкоднасныя інсайдэры складаюць 55% усіх выдаткаў на кібер-злачынствы? Гэта не толькі стварае пагрозу для вашых дадзеных, але таксама можа згубіць прыбытак.
Фрэнк Абаньяле, менеджэр поспехаў кліентаў Digital Sem Services, прапануе разгледзець наступныя тры выпадкі парушэнняў, зробленыя ў 2016 годзе.
Першы выпадак: Mossack-Fonseca (The Panama Papers)
Скандал Panama Papers уварваўся ў цэнтры ўвагі ў 2015 годзе, але з-за мільёнаў дакументаў, якія трэба было прасейваць, ён быў падарваны ў 2016 годзе. Уцечка паказала, як захоўваюцца палітыкі, заможныя бізнесмены, знакамітасці і грамадства creme de la creme іх грошы на афшорных рахунках. Часта гэта было цяністым і пераходзіла этычную рысу. Хоць Mossack-Fonseca была арганізацыяй, якая спецыялізавалася ў сферы сакрэтнасці, яе стратэгія інфармацыйнай бяспекі амаль не існуе. Для пачатку плагін для слайдаў выявы WordPress, які яны выкарыстоўвалі, быў састарэлым. Па-другое, яны выкарыстоўвалі 3-гадовага Drupal з вядомымі ўразлівасцямі. Дзіўна, але сістэмныя адміністратары арганізацыі ніколі не вырашаюць гэтых праблем.
Урокі:
- > заўсёды пераканайцеся, што вашы платформы CMS, убудовы і тэмы рэгулярна абнаўляюцца.
- > будзьце ў курсе апошніх пагроз бяспекі CMS. Для гэтага Joomla, Drupal, WordPress і іншыя сэрвісы маюць базы дадзеных.
- > прасканаваць усе ўбудовы, перш чым іх рэалізаваць і актываваць
Другі выпадак: малюнак профілю PayPal
Фларыян Курсіал (французскі праграмны інжынер) выявіў уразлівасць CSRF (падробка заявак на розныя сайты) на новым сайце PayPal, PayPal.me. Сусветны гіганцкі аплатны гігант прадставіў PayPal.me, каб палегчыць больш хуткія плацяжы. Аднак PayPal.me можна было выкарыстаць. Фларыян змог рэдагаваць і нават выдаліў маркер CSRF, тым самым абнавіўшы здымак профілю карыстальніка. Як і раней, хто-небудзь можа выдаць сябе за каго-небудзь іншага, атрымаўшы сваю фатаграфію ў Інтэрнэце, напрыклад, з Facebook.
Урокі:
- > скарыстацца унікальнымі токенамі CSRF для карыстальнікаў - яны павінны быць унікальнымі і мяняцца кожны раз, калі карыстальнік увойдзе ў сістэму.
- > токен на запыт - акрамя пункту вышэй, гэтыя токены таксама павінны быць даступныя, калі карыстальнік запытвае іх. Гэта забяспечвае дадатковую абарону.
- > тайм-аўт - памяншае ўразлівасць, калі ўліковы запіс некаторы час застаецца неактыўным.
Трэці выпадак: Міністэрства замежных спраў Расіі сутыкаецца са збянтэжанасцю XSS
У той час як большасць вэб-атак прызначаны для прыцяжэння даходаў, рэпутацыі і трафіку арганізацыі, некаторыя маюць намер збянтэжыць. Справа ў тым, хак, які ніколі не бываў у Расіі. Так здарылася: амерыканскі хакер (па мянушцы Шут) скарыстаўся ўразлівасцю сцэнарыялаў (XSS), якую ён бачыў на сайце Міністэрства замежных спраў Расіі. Журнал стварыў фіктыўны сайт, які імітаваў светапогляд афіцыйнага сайта, за выключэннем загалоўка, які ён настроіў здзекавацца над імі.
Урокі:
- > аздаравіць разметку HTML
- > Не ўстаўляйце дадзеныя, калі вы іх не пракантралявалі
- > выкарыстоўваць утыліту JavaScript перад тым, як увесці неправераныя дадзеныя ў значэнні дадзеных (JavaScript) мовы
- > абараніце сябе ад уразлівасцей, заснаваных на DOM