Back to Question Center
0

Tres lecciones de seguridad de aplicaciones web para tener en cuenta. Semalt Expert sabe cómo evitar convertirse en víctima de los delincuentes cibernéticos

1 answers:

En 2015, el Instituto Ponemon publicó los resultados de un estudio "Costo de la delincuencia cibernética",que ellos habían conducido. No fue una sorpresa que el costo del delito cibernético aumentara. Sin embargo, las figuras son tartamudas.Cybersecurity Ventures (conglomerado global) proyecta que este costo llegará a $ 6 billones por año. En promedio, se necesita una organización31 días para recuperarse después de un delito cibernético con el costo de la remediación en alrededor de $ 639 500.

¿Sabía que la denegación de servicio (ataques DDOS), las infracciones basadas en la web y los maliciososlos informantes representan el 55% de todos los costos del delito cibernético? Esto no solo representa una amenaza para sus datos, sino que también podría hacerle perder ingresos - ??? ????? nova 4.

Frank Abagnale, el Gerente de Éxito del Cliente de Semalt Servicios digitales, ofrece considerar los siguientes tres casos de violaciones realizadas en 2016.

Primer caso: Mossack-Fonseca (The Panama Papers)

El escándalo de los Papeles de Panamá saltó a la fama en 2015, pero debido a lamillones de documentos que tuvieron que ser filtrados, fue volado en 2016. La filtración reveló cómo políticos, hombres de negocios acaudalados,las celebridades y la crema de la nata de la sociedad almacenaron su dinero en cuentas en el exterior. A menudo, esto era sombrío y cruzó la éticalínea. Aunque Mossack-Fonseca era una organización que se especializaba en el secreto, su estrategia de seguridad de la información era casi inexistente.Para empezar, el plugin de diapositivas de imágenes de WordPress que usaban estaba desactualizado. En segundo lugar, usaron un Drupal de 3 años con vulnerabilidades conocidas.Sorprendentemente, los administradores del sistema de la organización nunca resuelven estos problemas.

Lecciones:

  • > siempre asegúrese de que sus plataformas CMS, complementos y temas se actualicen regularmente..
  • > manténgase actualizado con las últimas amenazas de seguridad de CMS. Joomla, Drupal, WordPress y otroslos servicios tienen bases de datos para esto.
  • > escanee todos los complementos antes de implementarlos y activarlos

Segundo caso: foto de perfil de PayPal

Florian Courtial (un ingeniero de software francés) encontró un CSRF (falsificación de solicitudes entre sitios)vulnerabilidad en el sitio más nuevo de PayPal, PayPal.me. El gigante global de pagos en línea dio a conocer PayPal.me para facilitar pagos más rápidos. Sin embargo,PayPal.me podría ser explotado. Florian pudo editar e incluso eliminar la ficha CSRF, actualizando así la imagen de perfil del usuario. Como lofue, cualquiera podría hacerse pasar por otra persona al obtener su imagen en línea, por ejemplo, digamos desde Facebook.

Lecciones:

  • > utilizan tokens CSRF únicos para los usuarios: estos deben ser únicos y cambiar cada vez que el usuario inicie sesión.
  • > token por solicitud: además del punto anterior, estos tokens también deberían estar disponiblescuando el usuario lo solicita Proporciona protección adicional.
  • > tiempo de espera: reduce la vulnerabilidad si la cuenta permanece inactiva durante un tiempo.

Tercer caso: el Ministerio de Asuntos Exteriores de Rusia se enfrenta a una vergüenza de XSS

Si bien la mayoría de los ataques web están destinados a causar estragos en los ingresos, la reputación,y el tráfico, algunos están destinados a avergonzar. Caso en punto, el truco que nunca sucedió en Rusia. Esto es lo que sucedió: un hacker estadounidense(apodado el Bufón) explotó la vulnerabilidad de scripts cruzados (XSS) que vio en el sitio web del Ministerio de Relaciones Exteriores de Rusia. losjester creó un sitio web ficticio que imitaba las perspectivas del sitio web oficial a excepción del titular, que personalizó para hacer unaburla de ellos.

Lecciones:

  • > desinfecte el marcado HTML
  • > no inserte datos a menos que lo verifique
  • > use un escape de JavaScript antes de ingresar datos no confiables en los valores de datos del idioma (JavaScript)
  • > Protéjase de las vulnerabilidades XSS basadas en DOM
November 23, 2017