4 savjeta za izbjegavanje uobičajenih propusta web sigurnosti

Web sigurnost je bijes ovih dana zbog višestruki hakerski incidenti koji čine vijest.


No, frustrirajuće je da uprkos tolikim brojevima članaka o ovoj temi korporacije i male web stranice čine lako izbjegavajuće pogreške kada je pravilno rukovati stvarima.

Nekoliko koraka u pravom smjeru sve je potrebno da biste zaštitili web mjesto.

Pogledajmo.

Ne koristite slučajne kodove od stranaca

Nasumični kodovi od javno objavljena spremišta na web lokacijama poput GitHub, Sourceforge i Bitbucket mogu sadržavati zlonamjerne kodove.

Evo kako se poštedjeti malo pametnog razmišljanja. Kôd možete implementirati u načinu održavanja i vidjeti kako funkcionira prije nego što ga učinite aktivnim.

Na taj način sprečavate stotine sati udarca glavom u glavu.

Ne poduzimanje mjera opreza može rezultirati preuzimanjem zlonamjernog koda i uzrokovati odustajanje od administrativnih privilegija vaše web lokacije i izgubiti naporan rad.

Nikada kopirajte paste kodove od slučajnih neznanaca na Internetu. Uradite neko istraživanje o toj osobi, a zatim nastavite s revizijom dobivenog koda.

Možda ćete pomisliti da ćete moći uštedjeti neko vrijeme kopiranjem lijepljenja nekog koda, ali pogrešno je samo jednom dovoljno za brod problema.

Za primjer: Ranjivi WordPress dodaje zlonamjerne kodove koji mogu preuzeti kontrolu nad vašom web stranicom ili naštetiti web lokaciji na manje kritične načine, kao što su umetanje slijedećih veza na web stranice trećih strana i ispiranje soka veze.

Takve se veze često pojavljuju samo kada Googlebot posjeti web mjesto, a za sve redovne posjetitelje veza ostaje nevidljiva.

Charles Floate i Wordfence udružili se kako bi naveli brojne nedavne primjere ranjivosti WordPress dodataka.

Način na koji ova prijevara djeluje je neka zlonamjerna SEO adresa e-pošte koja šalje e-poštu vlasnicima WordPress dodataka čiji se dodaci već neko vrijeme nisu ažurirali..

Oni nude kupnju dodatka i zatim pokretanje ažuriranja za taj dodatak.

Većina ljudi se nikada ne trudi provjeriti što je ažurirano u dodatku. Postoji toliko mnogo njih da pokrenu ažuriranje čim se pojavi.

Ali u ovom slučaju, dodatak bi stvorio backdoored pristup web mjestu SEO ili stranicama klijenta. Sve web stranice koje sada upotrebljavaju dodatak nehotice postaju dio PBN mreže.

Neki od tih dodataka imaju više od 50000 aktivnih instalacija. Zapravo, jedan od navedenih dodataka koristi se na mojoj web lokaciji, a do sad nisam znao za stražnju vrata.

Ti dodaci također su im omogućili administrativni pristup pogođenim mjestima.

Mogli bi vrlo dobro zauzeti konkurentsko mjesto ovom metodom i ne indeksirati ga, efektivno čineći ga nestanim u SERP-ovima.

Šifrirajte osjetljive podatke

Kada imate posla s osjetljivim podacima, to se nikada ne bi trebalo uzimati zdravo za gotovo.

Uvijek je pametnija opcija šifriranja osjetljivih podataka. Osobni podaci oko kupca i korisničkih lozinki spadaju u ovu kategoriju.

U tu svrhu treba koristiti snažan algoritam.

Na primjer, AES 256 je jedan od najboljih. Sama američka vlada smatra da bi AES mogao biti korišten za šifriranje i zaštitu tajnih podataka, a šifru iza haube javno je odobrio NSA.

AES sadrži sljedeće šifre: AES-128, AES-192 i AES-256. Svaka šifra šifrira i dešifrira podatke u 128-bitnim blokovima i pruža poboljšanu sigurnost.

Ako imate web mjesto sa sedištem u Europi, e-commerce, koji prihvaća plaćanje, morate osigurati svoju web lokaciju s a TLS certifikat.

Korisnički podaci trebaju uvijek biti zaštićeni.

Prihvaćanje korisničkih podataka putem nezaštićenih veza uvijek pruža hakeru priliku da odriješi dragocjene podatke.

Upravljanje plaćanjem

Problem sa spremanjem podataka o kreditnim karticama je taj što postajete meta.

zvučni Ulazite javno objavio je da je zbog kršenja poslužitelja tvrtke došlo do milijuna ukradenih kreditnih i debitnih kartica.

I drugi restorani, drive-ini poput Chipotlea i Arby-a također su imali slične hakove.

Ponekad ćete trebati prihvatiti podatke o kreditnoj kartici i spremiti ih za ponavljanje naplate. To zahtijeva da se žalite PCI.

Teško je biti PCI kompatibilan.

Ne samo da vam treba netko koji posjeduje PCI, već trebate i ažurirati web mjesto i bazu podataka da biste često bili u skladu.

Usklađenost nije jednokratni zahtjev, a PCI ih redovito mijenja kako bi se rješavale nove prijetnje.

Umjesto toga, možete preskočiti tvrdi dio i odabrati procesor plaćanja poput Pruga to čini teško dizanje za vas.

Oni su veliki, imaju podršku koja radi non-stop i pritužba su na PCI.

A ako imate internetsku trgovinu, razmislite o upotrebi Shopify.

Ako spremate podatke o kreditnoj kartici, posebno pazite da datoteke koje pohranjuju podatke o kreditnoj kartici i hardver gdje su pohranjeni trebaju ostati šifrirani.

Zakrpite ga odmah

Evo primjera za iznošenje mog stava.

Izvor

Iskoristio je nulti dan koji je djelovao kompromitirajući Apacheove ograde 7. ožujka 2017.

Do 8. ožujka Apache je izdao zakrpe kako bi prevladao problem. Ali treba dugo proći između objavljivanja flastera i tvrtki da se poduzme mjere.

Equifax je bila jedna od tvrtki koje su se hakirale.

Equifax je u izjavi naveo da su 7. rujna 2017. hakeri ukrali osobne podatke 143 milijuna kupaca.

Hakeri su iskoristili istu ranjivost aplikacija o kojoj smo gore raspravljali da bi ušli u sustav.

Ranjivost je bila u Apache Struts, okviru za izradu web aplikacija temeljenih na Javi.

Hakeri su iskoristili tu činjenicu kad Struts pošalje podatke poslužitelju kako bi mogli kompromitirati te podatke. Koristeći prijenos datoteka, hakeri su aktivirali programske pogreške koje su im dopuštale slanje zlonamjernih kodova ili naredbi.

Prema tvrtki, “klijentska imena, brojevi socijalnog osiguranja, datumi rođenja, adrese, a u nekim slučajevima i brojevi vozačkih dozvola” kao i “brojevi kreditnih kartica za približno 209.000 potrošača.” Pored toga, ukradeno je i 182.000 dokumenata o kreditnim sporovima, koji sadrže osobne podatke.

Zaključne misli

Kao što vidite, svjesnost promjena u tehnologiji i ažurnost softverskog zakrpa i malo unatrag često je uvijek više nego dovoljno za prevladavanje većine problema.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map