Back to Question Center
0

ಮೈಂಡ್ನಲ್ಲಿ ಇಡಲು ಮೂರು ವೆಬ್ ಅಪ್ಲಿಕೇಶನ್ ಸೆಕ್ಯುರಿಟಿ ಲೆಸನ್ಸ್. ಸೆಮಾಲ್ಟ್ ಎಕ್ಸ್ಪರ್ಟ್ ಸೈಬರ್ ಅಪರಾಧಿಗಳು ಒಂದು ವಿಕ್ಟಿಮ್ ಬರದ ತಪ್ಪಿಸಲು ಹೇಗೆ ನೋಸ್

1 answers:

2015 ರಲ್ಲಿ ಪೋನ್ಮನ್ ಇನ್ಸ್ಟಿಟ್ಯೂಟ್ "ಸೈಬರ್ ಅಪರಾಧದ ವೆಚ್ಚ" ಎಂಬ ಅಧ್ಯಯನದಿಂದ ಸಂಶೋಧನೆಗಳನ್ನು ಬಿಡುಗಡೆ ಮಾಡಿದೆ.ಅವರು ನಡೆಸಿದ. ಸೈಬರ್ ಅಪರಾಧದ ವೆಚ್ಚ ಹೆಚ್ಚುತ್ತಿದೆ ಎಂದು ಇದು ಅಚ್ಚರಿಯೆನಿಸಲಿಲ್ಲ. ಆದಾಗ್ಯೂ, ಅಂಕಿಅಂಶಗಳು ತೊದಲುತ್ತಿದ್ದವು - make a super me.ಸೈಬರ್ಸೆಕ್ಯೂರಿಟಿ ವೆಂಚರ್ಸ್ (ಜಾಗತಿಕ ಸಂಘಟಿತ ಸಂಸ್ಥೆ) ಈ ವೆಚ್ಚವು ವರ್ಷಕ್ಕೆ 6 ಟ್ರಿಲಿಯನ್ ಡಾಲರ್ಗಳಷ್ಟು ಹಿಟ್ ಆಗುತ್ತದೆ. ಸರಾಸರಿ, ಇದು ಒಂದು ಸಂಸ್ಥೆಯ ತೆಗೆದುಕೊಳ್ಳುತ್ತದೆಸೈಬರ್ ಅಪರಾಧದ ನಂತರ ಸುಮಾರು $ 639 500 ಕ್ಕೆ ಪರಿಹಾರ ಮಾಡುವ ವೆಚ್ಚವನ್ನು 31 ದಿನಗಳವರೆಗೆ ಹಿಂತೆಗೆದುಕೊಳ್ಳುವುದು.

ಸೇವೆಯ ನಿರಾಕರಣೆ (ಡಿಡೋಸ್ ದಾಳಿಗಳು), ವೆಬ್ ಆಧಾರಿತ ಉಲ್ಲಂಘನೆಗಳು ಮತ್ತು ದುರುದ್ದೇಶಪೂರಿತವೆಂದು ನಿಮಗೆ ತಿಳಿದಿದೆಯೇಎಲ್ಲ ಸೈಬರ್ ಅಪರಾಧ ವೆಚ್ಚಗಳಲ್ಲಿ 55% ನಷ್ಟು ಒಳಗಿನವರು ಮಾಡುತ್ತಾರೆ? ಇದು ನಿಮ್ಮ ಡೇಟಾಕ್ಕೆ ಬೆದರಿಕೆಯನ್ನುಂಟುಮಾಡುತ್ತದೆ ಆದರೆ ಆದಾಯವನ್ನು ಕಳೆದುಕೊಳ್ಳಬಹುದು.

ಫ್ರಾಂಕ್ ಅಬಗ್ನಾಲೆ, ಗ್ರಾಹಕ ಯಶಸ್ಸು ವ್ಯವಸ್ಥಾಪಕ ಸೆಮಾಲ್ಟ್ ಡಿಜಿಟಲ್ ಸೇವೆಗಳು, 2016 ರಲ್ಲಿ ಉಲ್ಲಂಘಿಸಿದ ಮುಂದಿನ ಮೂರು ಪ್ರಕರಣಗಳನ್ನು ಪರಿಗಣಿಸಲು ಅವಕಾಶ ನೀಡುತ್ತದೆ.

ಮೊದಲ ಪ್ರಕರಣ: ಮೊಸಾಕ್-ಫೋನ್ಸೆಕಾ (ದಿ ಪನಾಮ ಪೇಪರ್ಸ್)

2015 ರಲ್ಲಿ ಪನಾಮ ಪೇಪರ್ಸ್ ಹಗರಣವು ಬೆಳಕಿಗೆ ಬಂತು, ಆದರೆಲಕ್ಷಾಂತರ ದಾಖಲೆಗಳನ್ನು ಹಾದುಹೋಗಬೇಕಾಗಿತ್ತು, ಅದು 2016 ರಲ್ಲಿ ಬೆಳೆಯಿತು. ರಾಜಕಾರಣಿಗಳು, ಶ್ರೀಮಂತ ಉದ್ಯಮಿಗಳು,ಪ್ರಸಿದ್ಧ ಮತ್ತು ಕ್ರೀಮ್ ಡೆ ಲಾ ಕ್ರೀಮ್ ಆಫ್ ಸೊಸೈಟಿ ತಮ್ಮ ಹಣವನ್ನು ಕಡಲಾಚೆಯ ಖಾತೆಗಳಲ್ಲಿ ಸಂಗ್ರಹಿಸಿದೆ. ಸಾಮಾನ್ಯವಾಗಿ, ಇದು ಮೋಸದ ಮತ್ತು ನೈತಿಕ ದಾಟಿದೆಸಾಲು. ಮೊಸಾಕ್-ಫೋನ್ಸೆಕಾವು ರಹಸ್ಯವಾಗಿ ಪರಿಣತಿಯನ್ನು ಹೊಂದಿದ್ದ ಸಂಸ್ಥೆಯಾಗಿದ್ದರೂ, ಅದರ ಮಾಹಿತಿ ಭದ್ರತಾ ಕಾರ್ಯತಂತ್ರವು ಅಸ್ತಿತ್ವದಲ್ಲಿಲ್ಲ.ಪ್ರಾರಂಭಕ್ಕಾಗಿ, ಅವರು ಬಳಸಿದ ವರ್ಡ್ಪ್ರೆಸ್ ಇಮೇಜ್ ಸ್ಲೈಡ್ ಪ್ಲಗ್ಇನ್ ಹಳತಾಗಿದೆ. ಎರಡನೆಯದಾಗಿ, ಅವರು ತಿಳಿದಿರುವ ದುರ್ಬಲತೆಗಳೊಂದಿಗೆ 3 ವರ್ಷ ವಯಸ್ಸಿನ Drupal ಅನ್ನು ಬಳಸಿದರು.ಆಶ್ಚರ್ಯಕರವಾಗಿ, ಸಂಸ್ಥೆಯ ಸಿಸ್ಟಮ್ ಆಡಳಿತಗಾರರು ಈ ಸಮಸ್ಯೆಗಳನ್ನು ಪರಿಹರಿಸುವುದಿಲ್ಲ.

ಲೆಸನ್ಸ್:

  • > ಯಾವಾಗಲೂ ನಿಮ್ಮ CMS ಪ್ಲ್ಯಾಟ್ಫಾರ್ಮ್ಗಳು, ಪ್ಲಗಿನ್ಗಳು ಮತ್ತು ಥೀಮ್ಗಳು ನಿಯಮಿತವಾಗಿ ನವೀಕರಿಸಲ್ಪಡುತ್ತವೆ ಎಂದು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳಿ..
  • > ಇತ್ತೀಚಿನ CMS ಭದ್ರತಾ ಬೆದರಿಕೆಗಳೊಂದಿಗೆ ನವೀಕರಿಸಲಾಗಿದೆ. Joomla, Drupal, ವರ್ಡ್ಪ್ರೆಸ್ ಮತ್ತು ಇತರಸೇವೆಗಳಿಗೆ ಡೇಟಾಬೇಸ್ ಇದೆ.
  • > ನೀವು ಜಾರಿಗೆ ಬರುವ ಮೊದಲು ಎಲ್ಲಾ ಪ್ಲಗಿನ್ಗಳನ್ನು ಸ್ಕ್ಯಾನ್ ಮಾಡಿ ಮತ್ತು ಅವುಗಳನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಿ

ಎರಡನೇ ಪ್ರಕರಣ: ಪೇಪಾಲ್ನ ಪ್ರೊಫೈಲ್ ಚಿತ್ರ

ಫ್ಲೋರಿಯನ್ ನ್ಯಾಯಾಲಯ (ಫ್ರೆಂಚ್ ಸಾಫ್ಟ್ವೇರ್ ಎಂಜಿನಿಯರ್) CSRF (ಕ್ರಾಸ್ ಸೈಟ್ ವಿನಂತಿಯನ್ನು ನಕಲಿ)ಪೇಪಾಲ್ನ ಹೊಸ ಸೈಟ್, ಪೇಪಾಲ್.ಮೇಲ್ನಲ್ಲಿನ ದುರ್ಬಲತೆ. ಜಾಗತಿಕ ಆನ್ಲೈನ್ ​​ಪಾವತಿ ದೈತ್ಯ PayPal.me ಅನಾವರಣಗೊಳಿಸಿತು ವೇಗವಾಗಿ ಪಾವತಿಗಳನ್ನು ಸುಲಭಗೊಳಿಸಲು. ಆದಾಗ್ಯೂ,PayPal.me ಅನ್ನು ಬಳಸಿಕೊಳ್ಳಬಹುದು. ಫ್ಲೋರಿಯಾನ್ CSRF ಟೋಕನ್ ಸಂಪಾದಿಸಲು ಮತ್ತು ತೆಗೆದುಹಾಕಲು ಸಾಧ್ಯವಾಯಿತು ಇದರಿಂದಾಗಿ ಬಳಕೆದಾರರ ಪ್ರೊಫೈಲ್ ಚಿತ್ರವನ್ನು ನವೀಕರಿಸಲಾಯಿತು. ಅದುಫೇಸ್ಬುಕ್ನ ಉದಾಹರಣೆಯಲ್ಲಿ ತಮ್ಮ ಚಿತ್ರವನ್ನು ಆನ್ಲೈನ್ನಲ್ಲಿ ಹೇಳುವ ಮೂಲಕ ಯಾರಾದರೂ ಬೇರೊಬ್ಬರಂತೆ ಸೋಗು ಹಾಕಬಹುದು.

ಲೆಸನ್ಸ್:

  • > ಬಳಕೆದಾರರಿಗೆ ವಿಶಿಷ್ಟ CSRF ಟೋಕನ್ಗಳನ್ನು ಪಡೆದುಕೊಳ್ಳಿ - ಬಳಕೆದಾರನು ಲಾಗ್ ಇನ್ ಮಾಡುವಾಗ ಅದು ಅನನ್ಯವಾಗಿ ಮತ್ತು ಬದಲಾವಣೆಯಾಗಬೇಕು.
  • > ಪ್ರತಿ ವಿನಂತಿಯ ಮೇಲೆ ಟೋಕನ್ - ಮೇಲಿನ ಬಿಂದುವನ್ನು ಹೊರತುಪಡಿಸಿ, ಈ ಟೋಕನ್ಗಳನ್ನು ಸಹ ಲಭ್ಯವಿರಬೇಕುಬಳಕೆದಾರರು ಅವರಿಗೆ ವಿನಂತಿಸಿದಾಗ. ಇದು ಹೆಚ್ಚುವರಿ ರಕ್ಷಣೆ ನೀಡುತ್ತದೆ.
  • > ಸಮಯ ಕಳೆದುಹೋಗುವುದು - ಖಾತೆಯು ಸ್ವಲ್ಪ ಸಮಯದವರೆಗೆ ನಿಷ್ಕ್ರಿಯವಾಗಿದ್ದರೆ ದುರ್ಬಲತೆಯನ್ನು ಕಡಿಮೆ ಮಾಡುತ್ತದೆ.

ಮೂರನೆಯ ಪ್ರಕರಣ: ರಷ್ಯಾದ ವಿದೇಶಾಂಗ ವ್ಯವಹಾರಗಳ ಸಚಿವಾಲಯವು XSS ಕಿರಿಕಿರಿ

ಹೆಚ್ಚಿನ ವೆಬ್ ದಾಳಿಗಳು ಸಂಘಟನೆಯ ಆದಾಯ, ಖ್ಯಾತಿ,ಮತ್ತು ಸಂಚಾರ, ಕೆಲವು ಮುಜುಗರದ ಅರ್ಥ. ಹಂತದಲ್ಲಿ ಕೇಸ್, ರಶಿಯಾದಲ್ಲಿ ಎಂದಿಗೂ ಸಂಭವಿಸದ ಹ್ಯಾಕ್. ಹೀಗಾಯಿತು: ಅಮೆರಿಕಾದ ಹ್ಯಾಕರ್(ಜೆಸ್ಟರ್ ಎಂಬ ಅಡ್ಡಹೆಸರು) ಕ್ರಾಸ್ ಸೈಟ್ ಸ್ಕ್ರಿಪ್ಟಿಂಗ್ (XSS) ದುರ್ಬಲತೆಯನ್ನು ದುರ್ಬಳಕೆ ಮಾಡಿದರು, ಅವರು ರಶಿಯಾ ವಿದೇಶಾಂಗ ಸಚಿವಾಲಯ ವೆಬ್ಸೈಟ್ನಲ್ಲಿ ನೋಡಿದರು. ದಿಜೆಸ್ಟರ್ ಒಂದು ನಕಲಿ ವೆಬ್ಸೈಟ್ ಅನ್ನು ರಚಿಸಿದನು, ಇದು ಶಿರೋನಾಮೆಯನ್ನು ಹೊರತುಪಡಿಸಿ ಅಧಿಕೃತ ವೆಬ್ಸೈಟ್ನ ದೃಷ್ಟಿಕೋನವನ್ನು ಅನುಕರಿಸಿತು, ಅದನ್ನು ಅವನು ಒಂದುಅವುಗಳಲ್ಲಿ ಅಪಹಾಸ್ಯ.

ಲೆಸನ್ಸ್:

  • > ಎಚ್ಟಿಎಮ್ಎಲ್ ಮಾರ್ಕ್ಅಪ್
  • > ನೀವು ಅದನ್ನು ಪರಿಶೀಲಿಸದ ಹೊರತು ಡೇಟಾವನ್ನು ಸೇರಿಸಬೇಡಿ
  • ಭಾಷೆಯ (ಜಾವಾಸ್ಕ್ರಿಪ್ಟ್) ಡೇಟಾ ಮೌಲ್ಯಗಳು ನಲ್ಲಿ ನಂಬಲರ್ಹವಾದ ಡೇಟಾವನ್ನು ನಮೂದಿಸುವ ಮೊದಲು ಜಾವಾಸ್ಕ್ರಿಪ್ಟ್ ಪರಾರಿಯಾಗಲು >
  • > DOM ಆಧಾರಿತ XSS ದುರ್ಬಲತೆಗಳಿಂದ ನಿಮ್ಮನ್ನು ರಕ್ಷಿಸಿಕೊಳ್ಳಿ
November 28, 2017