4 wenke om algemene kwesbaarheid met betrekking tot websekerheid te vermy

Webveiligheid is deesdae die woede vanweë veelvuldige inbraakvoorvalle dit maak die nuus.


Maar wat frustrerend is, is dat ondanks soveel artikels oor die onderwerp, sowel ondernemings as klein webwerwe foute maak wat maklik vermy kan word as dit kom by die hantering van dinge op die regte manier.

‘N Paar stappe in die regte rigting is al wat nodig is om u werf veilig te hou.

Kom ons kyk.

Moenie willekeurige kodes van vreemdelinge gebruik nie

Willekeurige kodes vanaf openbaar geplaas bewaarplekke op webwerwe soos GitHub, Sourceforge en Bitbucket kan kwaadwillige kodes gedra word.

Dit is hoe jy jouself kan red met ‘n bietjie slim denke. U kan die kode in die instandhoudingsmodus ontplooi en kyk hoe dit werk voordat dit lewendig gemaak word.

Op hierdie manier voorkom jy honderde ure se kop.

As u geen voorsorg tref nie, kan die kwaadwillige kode wat u webwerf oorneem, veroorsaak dat u die administratiewe voorregte van u webwerf verbeur en u harde werk verloor..

nooit kopieer plakkodes van ewekansige vreemdelinge op die internet. Doen navorsing oor die persoon en gaan dan weer na die kode wat u kry.

U voel miskien dat u ‘n bietjie tyd kan bespaar om die kode te plak, maar om dit net een keer verkeerd te doen, is genoeg vir ‘n bootvrag.

Vir ‘n voorbeeld: kwesbare WordPress-plugins kwaadwillige kodes wat beheer kan neem oor u webwerf of die werf op minder kritieke maniere kan beskadig, soos om die volgende skakels na derdeparty-webwerwe in te sit en die sap te skakel.

Sulke skakels verskyn dikwels net as Googlebot die webwerf besoek, en vir alle gereelde besoekers bly die skakel onsigbaar.

Charles Floate en Wordfence saamgewerk om baie onlangse voorbeelde van kwesbaarhede in WordPress-plugin te noem.

Die manier waarop hierdie bedrogspul werk, is ‘n kwaadwillige SEO wat uitreik-e-posse stuur aan WordPress-plugin-eienaars wie se inprop in ‘n rukkie nie opgedateer is nie.

Hulle bied aan om die inprop te koop en dan ‘n opdatering van die inprop uit te voer.

Die meeste mense sal nooit die moeite doen om na te gaan wat in die inprop opgedateer is nie. Daar is soveel van hulle dat hulle ‘n opdatering doen sodra dit verskyn.

Maar in hierdie geval sal die inprop ‘n agterdeur-toegang tot die SEO-webwerf of kliëntwebwerwe skep. Alle webwerwe wat die inprop gebruik, word nou per ongeluk deel van ‘n PBN-netwerk.

Sommige van hierdie inproppe het meer as 50000 aktiewe installasies. In werklikheid word een van die inproppins wat hier gelys word op my webwerf gebruik, en ek het tot nou toe nie geweet van die agterdeur nie.

Hierdie plugins het hulle ook administratiewe toegang tot die betrokke webwerwe gegee.

Hulle kan baie goed ‘n deelnemer met hierdie metode oorneem en dit nie indeks nie, en dit effektief laat verdwyn in die SERP’s.

Enkripteer sensitiewe inligting

As u sensitiewe data hanteer, moet dit nooit as vanselfsprekend aanvaar word nie.

Dit is altyd die wyser opsie om sensitiewe data te enkripteer. Persoonlike inligting rondom kliënte en wagwoorde vir gebruikers val onder hierdie kategorie.

Daarvoor moet ‘n sterk algoritme gebruik word.

Byvoorbeeld, AES 256 is een van die beste. Die Amerikaanse regering is self van mening dat AES gebruik kan word om geklassifiseerde inligting te enkripteer en te beskerm, en die kode agter die kap is in die openbaar deur die NSA goedgekeur.

AES bestaan ​​uit die volgende sifers: AES-128, AES-192 en AES-256. Elke kodering kodifiseer en dekrypteer data in 128-bis blokke en bied verbeterde sekuriteit.

As u ‘n lidgebaseerde webwerf, e-handel bestuur en betaling aanvaar, moet u u webwerf beveilig met ‘n TLS-sertifikaat.

Gebruikerdata moet altyd beskerm word.

Die aanvaarding van gebruikersdata oor onversekerde verbindings gee ‘n hacker altyd die kans om kosbare data af te sif.

Hantering van betaling

Die probleem met die stoor van kredietkaartinligting is dat u ‘n teiken word.

sonic Inskakel in die openbaar aangekondig dat ‘n oortreding van die bedieners van die onderneming miljoene gesteelde krediet- en debietkaarte tot gevolg gehad het.

Ander restaurante, inritte soos Chipotle en Arby’s, het ook soortgelyke hacks gehad.

Soms sal u kredietkaartinligting moet aanvaar en stoor vir herhalende fakturering. Dit vereis dat u ‘n PCI-klag het.

Om aan PCI-vereistes te voldoen is harde werk.

Nie net het u iemand met PCI-vaardighede nodig nie, maar u moet ook die webwerf en databasis opdateer om gereeld te voldoen.

Nakoming is nie ‘n eenmalige vereiste nie, en die PCI verander dit gereeld om opkomende bedreigings aan te spreek.

In plaas daarvan, kan u die harde deel oorslaan en ‘n betalingsverwerker kies streep dit is die swaar opheffing vir jou.

Hulle is groot, hulle het ‘n ondersteuning wat die hele dag deur werk, en hulle is ‘n PCI-klag.

En as u ‘n aanlynwinkel bestuur, kan u dit oorweeg om te gebruik Shopify.

As u kredietkaartinligting stoor, moet u veral sorg dat die lêers wat die kredietkaartinligting stoor en die hardeware waarop dit geberg is, beide geïnkripteer moet bly.

Herstel dit onmiddellik

Hier is ‘n voorbeeld om my punt te maak.

Bron

‘N Nul-dag-uitbuiting wat gewerk het deur die verswakking van Apache-stutte is deur die lig gebring 7 Maart 2017.

Teen 8 Maart het Apache lappe vrygestel om die probleem te oorkom. Maar dit neem ‘n lang tyd tussen die publikasie van ‘n patch en maatskappye om aksie te neem.

Equifax was een van die maatskappye wat gekap is.

Equifax het in ‘n verklaring gesê dat hackers op 7 September 2017 persoonlike inligting op 143 miljoen kliënte gesteel het.

Die hackers het dieselfde kwesbaarheid met toepassings wat ons hierbo bespreek het, benut om binne die stelsel te kom.

Die kwesbaarheid was in Apache Struts, ‘n raamwerk vir die bou van Java-gebaseerde webtoepassings.

Die hackers het daardie feit uitgebuit toe Struts data na die bediener stuur, hulle die data kon benadeel. Met behulp van oplaai van lêers het hackers foute veroorsaak wat hulle toegelaat het om kwaadwillige kodes of opdragte te stuur.

Volgens die maatskappy is “kliëntname, nommer van die perso-nommer, geboortedatums, adresse en in sommige gevalle bestuurslisensienommers” asook “kredietkaartnommers vir ongeveer 209,000 verbruikers.” Daarbenewens is 182,000 dokumente met kredietgeskil, wat persoonlike inligting bevat, ook gesteel.

Slotgedagtes

Soos u kan sien, is dit altyd meer as genoeg om bewus te wees van die veranderinge in tegnologie en om op datum te bly met u programmatuur-lappies en ‘n bietjie nadenke om die meeste probleme te oorwin..

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map