要牢记三个Web应用程序安全性教训。塞玛特专家知道如何避免成为网络罪犯的受害者

2015年，Ponemon研究所发布了他们进行的“网络犯罪成本”研究的发现。毫无疑问，网络犯罪的成本在增加。但是，这些数字是断断续续的。网络安全风险投资公司（全球企业集团）预计，这一成本每年将达到6万亿美元。平均而言，组织在网络犯罪之后需要31天才能反弹，而修复成本约为639 500美元。

您是否知道拒绝服务（DDOS攻击），基于网络的漏洞和恶意内部人员构成了所有网络犯罪成本的55％？这不仅对您的数据构成威胁，而且可能使您损失收入。

Semalt Digital Services客户成功经理Frank Abagnale建议考虑以下2016年发生的三起违规事件。

第一种情况：Mossack-Fonseca（巴拿马文件）

巴拿马文件丑闻在2015年备受瞩目，但由于必须筛选成千上万份文件，因此在2016年被吹散。泄密事件揭示了政客，富商，名人和社会最高荣誉的存储方式他们将钱存入离岸帐户。通常，这是阴暗的，并且违反了道德准则。尽管Mossack-Fonseca是一家致力于保密的组织，但其信息安全策略几乎不存在。首先，他们使用的WordPress图片幻灯片插件已过时。其次，他们使用了3岁的具有已知漏洞的Drupal。令人惊讶的是，组织的系统管理员从未解决这些问题。

经验教训：

• >始终确保您的CMS平台，插件和主题定期更新。
• >随时了解最新的CMS安全威胁。 Joomla，Drupal，WordPress和其他服务都有用于此的数据库。
• >在实施并激活它们之前先扫描所有插件

第二种情况：PayPal的个人资料图片

Florian Courtial（法国软件工程师）在PayPal的较新网站PayPal.me中发现了CSRF（跨站点请求伪造）漏洞。这家全球在线支付巨头推出了PayPal.me，以促进更快的支付。但是，可以利用PayPal.me。 Florian能够编辑甚至删除CSRF令牌，从而更新了用户的个人资料图片。照原样，任何人都可以通过在网上说自己的照片（例如来自Facebook）来冒充他人。

经验教训：

• >为用户提供唯一的CSRF令牌-这些令牌应该是唯一的，并在用户登录时更改。
• >每个请求的令牌–除上述要点外，当用户请求令牌时，也应使这些令牌可用。它提供了额外的保护。
• >超时–如果帐户保持一段时间不活动，则可以减少漏洞。

第三案：俄罗斯外交部面临XSS的尴尬

尽管大多数Web攻击旨在给组织的收入，声誉和流量造成严重破坏，但有些却令人尴尬。举个例子，俄罗斯从未发生过这种黑客攻击。这就是发生的事情：一名美国黑客（绰号为Jester）利用了他在俄罗斯外交部网站上看到的跨站点脚本（XSS）漏洞。小丑创建了一个虚拟网站，模仿了官方网站的外观，但标题是他定制的，以嘲弄他们。

经验教训：

• >清理HTML标记
• >除非您验证数据，否则不要插入数据
• >在语言（JavaScript）数据值中输入不受信任的数据之前，请使用JavaScript转义
• >避免基于DOM的XSS漏洞