Три уроки безпеки веб-додатків, які потрібно мати на увазі. Експерт Семальта знає, як не стати жертвою кібер-злочинців

У 2015 році Інститут Понемону опублікував результати дослідження «Вартість кіберзлочинності», яке вони провели. Не дивно, що вартість кіберзлочинності зростала. Однак цифри заїкалися. Проекти з кібербезпеки (глобальний конгломерат) передбачають, що ця вартість досягне 6 трлн доларів на рік. В середньому, організація займає 31 день, щоб відскочити після кібер-злочину, а вартість виправлення становить близько 639 500 доларів.
Чи знаєте ви, що відмова в обслуговуванні (DDOS-атаки), порушення веб-сторінок та зловмисні інсайдери становлять 55% усіх витрат на кібер-злочини? Це не тільки загрожує вашим даним, але також може змусити втратити дохід.
Френк Абаньял, менеджер з успішності клієнтів Digital Sem Services, пропонує розглянути наступні три випадки порушень, зроблених у 2016 році.

Перший випадок: Моссак-Фонсека (Панамські документи)
Скандал Panama Papers потрапив у центр уваги у 2015 році, але через мільйони документів, які довелося просипати, він був підірваний у 2016 році. Витік показав, як зберігаються політики, заможні бізнесмени, знаменитості та крем-де-ла-крем суспільства свої гроші на офшорних рахунках. Часто це було тіньовим і переходило етичну лінію. Хоча Mossack-Fonseca була організацією, яка спеціалізувалася на секретності, її стратегія інформаційної безпеки майже не існувала. Для початку плагін для слайдів зображення WordPress, який вони використовували, був застарілим. По-друге, вони використовували 3-річного Drupal з відомими вразливими місцями. Дивно, але системні адміністратори організації ніколи не вирішують цих проблем.
Уроки:
- > завжди забезпечуйте регулярне оновлення ваших платформ CMS, плагінів та тем.
- > бути в курсі останніх загроз безпеці CMS. Для цього Joomla, Drupal, WordPress та інші служби мають бази даних.
- > скануйте всі плагіни перед їх реалізацією та активацією

Другий випадок: зображення профілю PayPal
Флоріан Куршаль (французький інженер програмного забезпечення) виявив уразливість CSRF (підробка веб-сайтів) на новому сайті PayPal, PayPal.me. Світовий гігант онлайн-платежів представив PayPal.me для полегшення більш швидких платежів. Однак PayPal.me можна було експлуатувати. Флоріан зміг відредагувати та навіть видалити маркер CSRF, тим самим оновивши зображення профілю користувача. Як це було, будь-хто може себе представити іншим, отримавши свою фотографію в Інтернеті, наприклад, з Facebook.
Уроки:
- > використовувати унікальні маркери CSRF для користувачів - вони повинні бути унікальними та змінюватися щоразу, коли користувач увійде в систему.
- > маркер на запит - крім точки, зазначеної вище, ці маркери також повинні бути доступними, коли користувач запитує їх. Він забезпечує додатковий захист.
- > тайм-аут - зменшує вразливість, якщо обліковий запис деякий час залишається неактивним.

Третій випадок: Міністерство закордонних справ Росії стикається зі збентеженням XSS
Хоча більшість веб-атак покликані спричинити дохід, репутацію та трафік організації, деякі мають на меті збентежити. Справа в тому, хакер, який ніколи не траплявся в Росії. Так сталося: американський хакер (на прізвисько Шестер) використав уразливість міжсайтових сценаріїв (XSS), яку він побачив на веб-сайті російського міністерства закордонних справ. Художник створив фіктивний веб-сайт, який імітував світогляд офіційного веб-сайту, за винятком заголовка, який він налаштував знущатися над ними.
Уроки:
- > очистити розмітку HTML
- > не вставляйте дані, якщо ви їх не підтвердили
- > використовувати вхід JavaScript перед тим, як вводити недовірені дані у значення даних мови (JavaScript)
- > захиститися від вразливостей XSS на основі DOM