4 tipy, ako sa vyhnúť spoločným zraniteľnostiam v oblasti zabezpečenia webu

Web security je v dnešnej dobe zlosťou viac hackerských incidentov ktoré robia správy.


Čo je však frustrujúce, je to, že napriek veľkému počtu článkov na túto tému sa podniky aj malé webové stránky nedajú ľahko vyhnúť chybám, pokiaľ ide o správny spôsob riešenia vecí..

Na zaistenie bezpečnosti vášho webu je potrebné urobiť niekoľko krokov správnym smerom.

Pozrime sa na to.

Nepoužívajte náhodné kódy od cudzích osôb

Náhodné kódy od verejne zverejnené archívy na stránkach ako GitHub, Sourceforge a Bitbucket môžu obsahovať škodlivé kódy.

Tu je návod, ako sa zachrániť trochou inteligentného myslenia. Kód môžete nasadiť v režime údržby a pred uvedením do prevádzky zistiť, ako to funguje.

Týmto spôsobom zabránite stovkám hodín zadýchania hlavy.

Ak nebudete robiť žiadne opatrenia, môže to mať za následok prevzatie škodlivého kódu na vašom webe a spôsobiť, že sa vzdáte administrátorských oprávnení svojho webu a stratíte tvrdú prácu..

nikdy kopírovanie prilepovacích kódov od náhodných cudzincov na internete. Urobte nejaký prieskum osoby a potom pokračujte v auditovaní kódu, ktorý dostanete.

Možno budete mať pocit, že si dokážete nejaký čas ušetriť pri vkladaní kópií, ale ak ho napravíte, stačí to len raz..

Napríklad: Vulnerable WordPress pluginy škodlivé kódy, ktoré môžu prevziať kontrolu nad vašimi stránkami alebo poškodiť stránky menej kritickými spôsobmi, ako je vloženie odkazov na stránky tretích strán a sifónovanie odkazovej šťavy..

Takéto odkazy sa často objavia iba vtedy, keď robot Googlebot navštívi stránku, a pre všetkých pravidelných návštevníkov zostáva odkaz neviditeľný.

Charles Floate a Wordfence sa spojili, aby uviedli mnoho nedávnych príkladov zraniteľností doplnkov WordPress.

Fungovanie tohto podvodu spočíva v tom, že niektorí škodliví SEO zasielajú e-maily s informáciami vlastníkom doplnkov WordPress, ktorých doplnky sa chvíľu neaktualizovali.

Ponúkajú na kúpu doplnku a potom spustia aktualizáciu tohto doplnku.

Väčšina ľudí sa nikdy neobťažuje skontrolovať, čo bolo aktualizované v doplnku. Je ich toľko, že aktualizáciu spustia hneď, ako sa objaví.

V tomto prípade by však doplnok vytvoril prístup na webovú stránku SEO alebo na klientske stránky. Všetky stránky, ktoré používajú doplnok, sa teraz neúmyselne stanú súčasťou siete PBN.

Niektoré z týchto doplnkov majú viac ako 50000 aktívnych inštalácií. Jeden z uvedených doplnkov sa v skutočnosti používa na mojich stránkach a doteraz som o zadných dverách nevedel.

Tieto doplnky im tiež poskytli administratívny prístup k postihnutým webom.

S touto metódou by mohli veľmi dobre prevziať konkurenčné miesto a bez indexovania, čo by v SERP zmizlo..

Zašifrujte citlivé informácie

Ak pracujete s citlivými údajmi, nikdy by sa nemali považovať za samozrejmé.

Šifrovanie citlivých údajov je vždy múdrejšie. Osobné informácie týkajúce sa zákazníkov a heslá používateľov patria do tejto kategórie.

Na tento účel by sa mal použiť silný algoritmus.

Napríklad AES 256 je jedným z najlepších. Samotná vláda USA zastáva názor, že AES by sa mohla použiť na šifrovanie a ochranu utajovaných skutočností a šifra za digestorom bola verejne schválená NSA..

AES obsahuje nasledujúce šifry: AES-128, AES-192 a AES-256. Každá šifra šifruje a dešifruje údaje v 128-bitových blokoch a poskytuje zvýšenú bezpečnosť.

Ak prevádzkujete webovú stránku založenú na členoch, eCommerce a prijímate platby, musíte svoje stránky zabezpečiť pomocou Certifikát TLS.

Údaje používateľa by mali byť vždy chránené.

Akceptovanie užívateľských údajov prostredníctvom nezabezpečených pripojení vždy hackerovi poskytne šancu zbaviť sa cenných údajov.

Spracovanie platby

Problém s ukladaním informácií o kreditnej karte spočíva v tom, že sa stanete cieľom.

akustický Drive-In verejne oznámil, že narušenie podnikových serverov malo za následok milióny odcudzených kreditných a debetných kariet.

Ostatné reštaurácie, jednotky ako Chipotle a Arby’s tiež zažili podobné hacky.

Niekedy budete musieť prijať informácie o kreditnej karte a uložiť ich pre opakovanú fakturáciu. Vyžaduje si to, aby ste sa sťažovali na PCI.

Byť kompatibilný s PCI je náročné.

Potrebujete niekoho niekoho dôvtipného PCI, ale musíte tiež aktualizovať web a databázu, aby ste často zostali v zhode.

Dodržiavanie nie je jednorazová požiadavka a PCI ich pravidelne mení tak, aby reagovali na vznikajúce hrozby.

Namiesto toho môžete preskočiť tvrdú časť a zvoliť platobný procesor prúžok to pre vás robí ťažké zdvíhanie.

Sú veľké, majú nepretržitú podporu a sú sťažnosťou na PCI.

A ak prevádzkujete internetový obchod, môžete zvážiť jeho použitie Shopify.

Ak v prípade, že ukladáte informácie o kreditnej karte, dbajte najmä na to, aby súbory, v ktorých sú uložené informácie o kreditnej karte, a hardvér, v ktorom sú uložené, zostali šifrované..

Ihneď to opravte

Tu je príklad, ktorý chcem uviesť.

zdroj

Svetlo sa vynieslo na nulu, keď sa využívali kompromitujúce vzpery Apache 7. marca 2017.

Do 8. marca spoločnosť Apache vydala záplaty na prekonanie problému. Medzi vydaním záplaty a spoločnosťami však trvá dlho, než podniknú kroky.

Equifax bola jednou z spoločností, ktoré sa dostali na hackerské siete.

Spoločnosť Equifax vo vyhlásení uviedla, že 7. septembra 2017 hackeri ukradli osobné informácie 143 miliónom zákazníkov.

Hackeri využili tú istú zraniteľnosť aplikácie, akú sme diskutovali vyššie, aby sa dostali do systému.

Táto chyba zabezpečenia bola v Apache Struts, rámci pre vytváranie webových aplikácií založených na Java.

Hackeri využili túto skutočnosť, keď služba Struts odosiela údaje na server, mohli by tieto údaje kompromitovať. Hackeri pomocou nahrávania súborov spustili chyby, ktoré im umožnili odosielať škodlivé kódy alebo príkazy.

Podľa spoločnosti „mená zákazníkov, čísla sociálneho zabezpečenia, dátumy narodenia, adresy av niektorých prípadoch čísla vodičských preukazov“, ako aj „čísla kreditných kariet pre približne 209 000 spotrebiteľov.“ Okrem toho bolo odcudzených 182 000 dokumentov o úverovom spore, ktoré obsahujú osobné informácie.

Záverečné myšlienky

Ako vidíte, byť si vedomý zmien v technológii a aktuálnosti so svojimi softvérovými záplatami a trochu spätného pohľadu je vždy vždy viac než dosť na to, aby ste prekonali väčšinu problémov..

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map