Drei Sicherheitslektionen für Webanwendungen, die Sie beachten sollten. Semalt-Experte weiß, wie man es vermeidet, Opfer von Cyber-Kriminellen zu werden

Im Jahr 2015 veröffentlichte das Ponemon Institute Ergebnisse einer Studie "Cost of Cyber Crime", die sie durchgeführt hatten. Es war keine Überraschung, dass die Kosten für Cyberkriminalität stiegen. Die Figuren stotterten jedoch. Cybersecurity Ventures (globales Konglomerat) geht davon aus, dass diese Kosten 6 Billionen US-Dollar pro Jahr betragen werden. Im Durchschnitt benötigt eine Organisation 31 Tage, um sich nach einem Cyber-Verbrechen zu erholen. Die Kosten für die Sanierung liegen bei etwa 639.500 US-Dollar.

Wussten Sie, dass Denial-of-Service (DDOS-Angriffe), webbasierte Sicherheitsverletzungen und böswillige Insider 55% aller Kosten für Cyberkriminalität ausmachen? Dies stellt nicht nur eine Bedrohung für Ihre Daten dar, sondern kann auch zu Umsatzverlusten führen.

Frank Abagnale, Customer Success Manager von Semalt Digital Services, bietet an, die folgenden drei Fälle von Verstößen im Jahr 2016 zu berücksichtigen.

Erster Fall: Mossack-Fonseca (The Panama Papers)

Der Panama Papers-Skandal geriet 2015 ins Rampenlicht, wurde jedoch aufgrund der Millionen von Dokumenten, die durchgesehen werden mussten, 2016 gesprengt. Das Leck enthüllte, wie Politiker, wohlhabende Geschäftsleute, Prominente und die Crème de la Crème der Gesellschaft gespeichert wurden ihr Geld auf Offshore-Konten. Oft war dies zwielichtig und überschritt die ethische Grenze. Obwohl Mossack-Fonseca eine auf Geheimhaltung spezialisierte Organisation war, gab es kaum eine Strategie für Informationssicherheit. Zunächst war das von ihnen verwendete WordPress-Image-Slide-Plugin veraltet. Zweitens verwendeten sie einen 3 Jahre alten Drupal mit bekannten Schwachstellen. Überraschenderweise lösen die Systemadministratoren des Unternehmens diese Probleme nie.

Lektionen:

  • > Stellen Sie immer sicher, dass Ihre CMS-Plattformen, Plugins und Themes regelmäßig aktualisiert werden.
  • > Bleiben Sie über die neuesten CMS-Sicherheitsbedrohungen auf dem Laufenden. Joomla, Drupal, WordPress und andere Dienste haben Datenbanken dafür.
  • > Scannen Sie alle Plugins, bevor Sie sie implementieren und aktivieren

Zweiter Fall: PayPals Profilbild

Florian Courtial (ein französischer Softwareentwickler) hat auf der neueren PayPal-Website PayPal.me eine CSRF-Sicherheitsanfälligkeit (Cross Site Request Forgery) festgestellt. Der globale Online-Zahlungsriese hat PayPal.me vorgestellt, um schnellere Zahlungen zu ermöglichen. PayPal.me könnte jedoch ausgenutzt werden. Florian konnte das CSRF-Token bearbeiten und sogar entfernen, wodurch das Profilbild des Benutzers aktualisiert wurde. So wie es war, konnte sich jeder als jemand anderes ausgeben, indem er sein Bild online brachte, zum Beispiel von Facebook.

Lektionen:

  • > eindeutige CSRF-Token für Benutzer verwenden - diese sollten eindeutig sein und sich ändern, wenn sich der Benutzer anmeldet.
  • > Token pro Anforderung - Abgesehen von dem oben genannten Punkt sollten diese Token auch verfügbar sein, wenn der Benutzer sie anfordert. Es bietet zusätzlichen Schutz.
  • > Zeitüberschreitung - Reduziert die Sicherheitsanfälligkeit, wenn das Konto einige Zeit inaktiv bleibt.

Dritter Fall: Das russische Außenministerium sieht sich einer XSS-Verlegenheit gegenüber

Während die meisten Web-Angriffe die Einnahmen, den Ruf und den Datenverkehr eines Unternehmens in Mitleidenschaft ziehen sollen, sollen einige in Verlegenheit bringen. Ein typisches Beispiel ist der Hack, der in Russland nie stattgefunden hat. Dies geschah: Ein amerikanischer Hacker (Spitzname Jester) nutzte die Sicherheitslücke in Bezug auf Cross Site Scripting (XSS), die er auf der Website des russischen Außenministeriums sah. Der Narr erstellte eine Dummy-Website, die den Ausblick der offiziellen Website nachahmte, mit Ausnahme der Überschrift, die er anpasste, um sie zu verspotten.

Lektionen:

  • > Bereinigen Sie das HTML-Markup
  • > Fügen Sie keine Daten ein, es sei denn, Sie überprüfen dies
  • > Verwenden Sie ein JavaScript-Escape, bevor Sie nicht vertrauenswürdige Daten in die Datenwerte der Sprache (JavaScript) eingeben
  • > Schützen Sie sich vor DOM-basierten XSS-Schwachstellen

mass gmail