Tiga Pelajaran Keamanan Aplikasi Web Yang Perlu Diingat. Ahli Semalt Tahu Cara Menghindari Menjadi Korban Penjahat Dunia Maya

Pada 2015, Ponemon Institute merilis temuan dari studi "Cost of Cyber Crime", yang telah mereka lakukan. Tidak mengherankan bahwa biaya kejahatan dunia maya meningkat. Namun, angka-angka itu tergagap. Cybersecurity Ventures (konglomerat global) memproyeksikan bahwa biaya ini akan mencapai $ 6 triliun per tahun. Rata-rata, dibutuhkan organisasi 31 hari untuk bangkit kembali setelah kejahatan dunia maya dengan biaya perbaikan sekitar $ 639.500.

Tahukah Anda bahwa penolakan layanan (serangan DDOS), pelanggaran berbasis web, dan orang dalam jahat merupakan 55% dari semua biaya kejahatan dunia maya? Ini tidak hanya menimbulkan ancaman bagi data Anda tetapi juga bisa membuat Anda kehilangan penghasilan.

Frank Abagnale, Manajer Sukses Pelanggan dari Semalt Digital Services, menawarkan untuk mempertimbangkan tiga kasus pelanggaran berikut yang dilakukan pada tahun 2016.

Kasus pertama: Mossack-Fonseca (The Panama Papers)

Skandal Panama Papers menjadi pusat perhatian pada tahun 2015, tetapi karena jutaan dokumen yang harus disaring, itu meledak pada tahun 2016. Kebocoran itu mengungkapkan bagaimana para politisi, pengusaha kaya, selebritis dan creme de la creme masyarakat menyimpan uang mereka di rekening luar negeri. Seringkali, ini teduh dan melewati batas etika. Meskipun Mossack-Fonseca adalah organisasi yang berspesialisasi dalam kerahasiaan, strategi keamanan informasinya hampir tidak ada. Sebagai permulaan, plugin slide gambar WordPress yang mereka gunakan sudah usang. Kedua, mereka menggunakan Drupal berusia 3 tahun dengan kerentanan yang diketahui. Anehnya, administrator sistem organisasi tidak pernah menyelesaikan masalah ini.

Pelajaran:

  • > selalu memastikan bahwa platform, plugin, dan tema CMS Anda diperbarui secara berkala.
  • > tetap diperbarui dengan ancaman keamanan CMS terbaru. Joomla, Drupal, WordPress, dan layanan lainnya memiliki basis data untuk ini.
  • > pindai semua plugin sebelum Anda menerapkan dan mengaktifkannya

Kasus kedua: gambar profil PayPal

Florian Courtial (insinyur perangkat lunak Prancis) menemukan kerentanan CSRF (pemalsuan permintaan lintas situs) di situs PayPal yang lebih baru, PayPal.me. Raksasa pembayaran online global meluncurkan PayPal.me untuk memfasilitasi pembayaran yang lebih cepat. Namun, PayPal.me dapat dieksploitasi. Florian dapat mengedit dan bahkan menghapus token CSRF sehingga memperbarui gambar profil pengguna. Karena itu, siapa pun dapat menyamar sebagai orang lain dengan mendapatkan foto mereka secara online, misalnya dari Facebook.

Pelajaran:

  • > tersedia token CSRF unik untuk pengguna - ini harus unik dan berubah setiap kali pengguna login.
  • > token per permintaan - selain poin di atas, token ini juga harus tersedia saat pengguna memintanya. Ini memberikan perlindungan tambahan.
  • > waktu habis - mengurangi kerentanan jika akun tetap tidak aktif untuk beberapa waktu.

Kasus ketiga: Kementerian Luar Negeri Rusia Menghadapi Rasa Malu XSS

Sementara sebagian besar serangan web dimaksudkan untuk mendatangkan malapetaka bagi pendapatan, reputasi, dan lalu lintas organisasi, beberapa di antaranya dimaksudkan untuk mempermalukan. Contohnya, retas yang tidak pernah terjadi di Rusia. Inilah yang terjadi: seorang peretas Amerika (dijuluki Jester) mengeksploitasi kerentanan cross site scripting (XSS) yang ia lihat di situs web Kementerian Luar Negeri Rusia. Pelawak membuat situs web tiruan yang meniru pandangan situs web resmi kecuali untuk berita utama, yang ia sesuaikan untuk membuat ejekan dari mereka.

Pelajaran:

  • > membersihkan markup HTML
  • > jangan memasukkan data kecuali Anda memverifikasinya
  • > gunakan pelarian JavaScript sebelum Anda memasukkan data yang tidak dipercaya ke dalam nilai data bahasa (JavaScript)
  • > lindungi diri Anda dari kerentanan XSS berbasis DOM

mass gmail