覚えておくべき3つのWebアプリケーションセキュリティレッスン。 Semaltの専門家は、サイバー犯罪者の犠牲者にならないようにする方法を知っています

2015年に、Ponemon Instituteは、彼らが実施した調査「サイバー犯罪のコスト」の調査結果を発表しました。サイバー犯罪のコストが増加していることは驚くに値しませんでした。しかし、数字はどもりました。サイバーセキュリティベンチャーズ（グローバルコングロマリット）は、このコストが年間6兆ドルに達すると予測しています。組織がサイバー犯罪の後に立ち直るのに平均で31日かかり、修復コストは約639 500ドルです。

サービス拒否（DDOS攻撃）、Webベースの違反、悪意のある内部関係者がすべてのサイバー犯罪コストの55％を占めることをご存知ですか？これはデータに脅威をもたらすだけでなく、収益を失う可能性もあります。

Semalt Digital ServicesのCustomer Success ManagerであるFrank Abagnaleは、2016年に行われた次の3つの違反事例について検討することを提案しています。

最初のケース：Mossack-Fonseca（パナマ文書）

パナマペーパーのスキャンダルは2015年に脚光を浴びましたが、何百万ものドキュメントがふるいにかけられなければならなかったため、それは2016年に吹き飛ばされました。オフショア口座の彼らのお金。多くの場合、これは疑わしく、倫理的境界線を越えました。モサックフォンセカは秘密を専門とする組織でしたが、その情報セキュリティ戦略はほとんど存在しませんでした。まず、彼らが使用したWordPress画像スライドプラグインは古くなっています。次に、既知の脆弱性を持つ3年前のDrupalを使用しました。驚くべきことに、組織のシステム管理者はこれらの問題を解決することはありません。

レッスン：

• > CMSプラットフォーム、プラグイン、テーマが定期的に更新されるようにしてください。
• >最新のCMSセキュリティの脅威で最新の状態を保ちます。 Joomla、Drupal、WordPressなどのサービスには、このためのデータベースがあります。
• >すべてのプラグインを実装してアクティブ化する前にスキャンする

2番目のケース：PayPalのプロフィール写真

Florian Courtial（フランスのソフトウェアエンジニア）が、PayPalの新しいサイトPayPal.meにCSRF（クロスサイトリクエストフォージェリ）の脆弱性を発見しました。世界的なオンライン決済の巨人は、支払いの高速化を促進するPayPal.meを発表しました。ただし、PayPal.meが悪用される可能性があります。 FlorianはCSRFトークンを編集して削除することもでき、それによってユーザーのプロフィール写真が更新されました。たとえば、Facebookから写真をオンラインで発言するなどして、だれでも偽装することができました。

レッスン：

• >ユーザーに固有のCSRFトークンを使用します–これらは固有であり、ユーザーがログインするたびに変更される必要があります。
• >リクエストごとのトークン–上記のポイント以外に、これらのトークンは、ユーザーがリクエストしたときにも利用できるようにする必要があります。追加の保護を提供します。
• >タイムアウト–アカウントがしばらくの間非アクティブのままである場合の脆弱性を軽減します。

3番目のケース：ロシアの外務省はXSSの恥に直面

ほとんどのWeb攻撃は、組織の収益、評判、およびトラフィックに大打撃を与えることを意図していますが、一部は恥ずかしいものです。典型的な例として、ロシアでは決して起こらなかったハッキング。これが起こったことです。アメリカのハッカー（通称Jester）は、ロシアの外務省のWebサイトで見たクロスサイトスクリプティング（XSS）の脆弱性を悪用しました。道化師は、見出しを除いて公式ウェブサイトの外観を模倣したダミーのウェブサイトを作成し、それをあざけるようにカスタマイズしました。

レッスン：

• > HTMLマークアップをサニタイズします
• >検証しない限りデータを挿入しないでください
• >言語の（JavaScript）データ値に信頼できないデータを入力する前にJavaScriptエスケープを使用する
• > DOMベースのXSS脆弱性から身を守る