Back to Question Center
0

मन में रखने के लिए तीन वेब अनुप्रयोग सुरक्षा सबक सेमल विशेषज्ञ साइबर अपराधियों के शिकार बनने से कैसे बचें?

1 answers:

2015 में, Ponemon संस्थान ने एक अध्ययन "साइबर अपराध की लागत" से निष्कर्ष निकाला,जो उन्होंने आयोजित किया था यह आश्चर्यचकित नहीं हुआ कि साइबर अपराध की लागत बढ़ रही है। हालांकि, आंकड़े बड़बड़ा रहे थेसाइबर सिक्यूरिटी वेंचर्स (ग्लोबल कोलॉमेरेेट) परियोजनाएं हैं जो प्रति वर्ष 6 ट्रिलियन डॉलर की लागत से प्रभावित होंगे। औसतन, यह एक संगठन लेता हैसाइबर अपराध के बारे में $ 639 500 के बारे में उपाय करने की लागत के साथ 31 दिनों तक उछाल

क्या आप जानते हैं कि सेवा से वंचित (डीडीओएस हमलों), वेब आधारित उल्लंघनों और दुर्भावनापूर्णसभी साइबर अपराध लागतों के 55% के लिए अंदरूनी सूत्र बनाते हैं? यह न केवल आपके डेटा के लिए खतरा बनता है बल्कि आपको राजस्व भी खो सकता है

फ्रैंक अगानाले, ग्राहक सफलता प्रबंधक का Semalt डिजिटल सेवा, 2016 में किए गए उल्लंघनों के निम्नलिखित तीन मामलों पर विचार करने की पेशकश करती है।

प्रथम मामले: मोसेक-फोन्सेका (पनामा पत्र) (1 9)

पनामा पत्रों का घोटाला 2015 में प्रकाशित हुआ, लेकिन इस वजह सेलाखों दस्तावेजों के जरिए इसे झेलना पड़ता था, यह 2016 में उड़ाया गया था। रिसाव से पता चला कि राजनेताओं, धनी व्यवसायियों,मशहूर हस्तियों और समाज के क्रीम डे ला क्रीम अपतटीय खातों में अपने पैसे संग्रहीत। अक्सर, यह छायादार था और नैतिक को पार कियालाइन। हालांकि मोसेक-फोन्सेका एक संगठन था जो गुप्तता में विशिष्ट था, इसकी सूचना सुरक्षा रणनीति लगभग गैर-मौजूद थी।एक शुरुआत के लिए, वे उपयोग की गई वर्डप्रेस छवि स्लाइड प्लगइन पुरानी थीं। दूसरे, उन्होंने ज्ञात कमजोरियों के साथ एक 3-वर्षीय द्रुपल का इस्तेमाल किया।हैरानी की बात है, संगठन के सिस्टम प्रशासक कभी भी इन मुद्दों का समाधान नहीं करते हैं।

सबक:

  • > हमेशा सुनिश्चित करें कि आपके सीएमएस प्लेटफार्मों, प्लगइन्स और थीम नियमित रूप से अपडेट किए गए हैं।.
  • > नवीनतम सीएमएस सुरक्षा खतरों के साथ अद्यतन रहें। जूमला, ड्रुपल, वर्डप्रेस और अन्यसेवाओं के लिए डेटाबेस है।
  • > सभी प्लगिन को स्कैन करने से पहले इसे लागू करें और उन्हें सक्रिय करें

दूसरा मामला: पेपैल का प्रोफ़ाइल चित्र (1 9)

फ्लोरियन कोर्टियल (एक फ्रांसीसी सॉफ़्टवेयर इंजीनियर) को सीएसआरएफ (क्रॉस साइट अनुरोध जालसाजी) पाया गयापेपैल की नई साइट, PayPal.me में भेद्यता तेजी से भुगतान की सुविधा के लिए वैश्विक ऑनलाइन भुगतान विशालकाय पेपल.मी का अनावरण किया। तथापि,PayPal.me का फायदा उठाया जा सकता है फ्लोरियन को सीएसआरएफ टोकन को संपादित और निकालने में सक्षम था जिससे उपयोगकर्ता की प्रोफाइल चित्र को अपडेट किया जा सके। यह रूपथा, किसी को भी फेसबुक से उदाहरण के लिए उनकी तस्वीर ऑनलाइन कहकर किसी और को प्रतिरूपित कर सकता है

सबक:

  • > उपयोगकर्ताओं के लिए अद्वितीय सीएसआरएफ टोकन का लाभ उठाने - ये अनूठे होना चाहिए और जब भी उपयोगकर्ता लॉग इन करता है।
  • > टोकन प्रति अनुरोध - उपरोक्त बिंदु के अलावा, ये टोकन भी उपलब्ध कराये जाने चाहिएजब उपयोगकर्ता उनके लिए अनुरोध करता है यह अतिरिक्त सुरक्षा प्रदान करता है।
  • > समय समाप्त - यदि जोखिम कुछ समय के लिए निष्क्रिय रहता है तो जोखिम कम कर देता है।

तीसरा मामला: रूस के विदेश मामलों के मंत्रालय ने एक एक्सएसएस शर्मिंदगी का सामना किया (1 9)

जबकि अधिकांश वेब हमलों का उद्देश्य संगठन के राजस्व, प्रतिष्ठा,और यातायात, कुछ शर्मिंदगी के लिए होती हैं मुद्दा यह है कि, रूस में कभी नहीं हुआ हैक। यह हुआ है: एक अमेरिकी हैकर(जेस्टर नामक उपनाम) क्रॉस साइट स्क्रिप्टिंग (एक्सएसएस) भेद्यता का शोषण करता है जो उसने रूस के विदेश मामलों के मंत्रालय की वेबसाइट पर देखा था।जेस्टर ने एक डमी वेबसाइट बनाई जो कि आधिकारिक वेबसाइट की आइडिया को छोड़कर शीर्षक के अलावा, जिसे उन्होंने एकउनमें से मजाक।

सबक:

  • > एचटीएमएल मार्कअप को साफ करना (2 9)
  • > डेटा को सम्मिलित नहीं करते जब तक कि आप इसे सत्यापित नहीं करते हैं
  • (जावास्क्रिप्ट) डाटा वैल्यू में अविश्वसनीय डेटा दर्ज करने से पहले
  • > जावास्क्रिप्ट एस्केप का उपयोग करें
  • > खुद को DOM आधारित XSS कमजोरियों से ढाल

November 28, 2017
मन में रखने के लिए तीन वेब अनुप्रयोग सुरक्षा सबक सेमल विशेषज्ञ साइबर अपराधियों के शिकार बनने से कैसे बचें?
Reply