Сценарий. Взлом сайта и базы данных. SQL инъекции. Пароли и шифрование.
Сценарий. Взлом сайта и базы данных. SQL инъекции. Пароли и шифрование.
Злоумышленник находит в интернете сайт Компании X и решает атаковать его с целью доступа к внутренним ресурсам. На сайте обслуживания клиентов был проведен «тест на проникновение» (пентест), который подтвердил наличие уязвимостей. Эксплуатируя одну из них, нарушитель получает доступ к серверу, который, помимо основной информации, предоставляет пользователям Компании X инструмент для генерации отчетов. Позже компания обнаруживает, что приложение обслуживания клиентов функционирует нормально, однако функция стороннего чата не может точно идентифицировать пользователей. Это позволяет злоумышленнику обмануть представителей службы поддержки и изменить адрес электронной почты в учетной записи, что дает ему доступ к ней. Как злоумышленники могут получить доступ к конфиденциальным данным? Какие меры можно предпринять для защиты конфиденциальной информации и обеспечения информационной безопасности? Облачное хранилище можно защитить, предварительно зашифровав документы с помощью PGP или используя программу для создания архива с отсканированными документами. Вход в социальные сети, приложения для обмена сообщениями и электронную почту безопаснее осуществлять через специальные приложения, тогда как в браузерах лучше избегать ввода паролей. При создании архива следует выбрать опцию «непрерывный архив» (solid archive) и установить надежный пароль, например: «kn23iuhuio12njkpuiy89y7&R&TFTGIY*(UYT&T^GOUH*&GYUIHJK)». Помните, что онлайн-сервисы для хранения паролей ненадежны. Их часто взламывают. Пароли должны быть уникальными. Цифры и спецсимволы значительно усложняют процесс подбора. • не следует использовать общеизвестные факты для создания паролей (ваши имя, возраст, дату рождения, клички животных, имена близких родственников и т. п.); • легко взломать пароли, состоящие только из цифр или букв; • не следует использовать элементарные пароли типа 123456…, абвгд…; • подключайте дополнительное подтверждение входа — двухфакторную аутентификацию. Проверить надежность пароля можно на сайте 2ip.ru/passcheck. • persik1234 – ненадежный, возможно взломать за 254 часа • ANNa11 – ненадежный, возможно взломать за 14 секунд • Jack4321 – ненадежный, возможно взломать за 910 минут • 123456789 – ненадежный, возможно взломать за 0 секунд • ANNA_JACK – ненадежный, возможно взломать за 1889 часов • ANNAPERSIK – ненадежный, возможно взломать за 588 минут • A!-2na1234 – надежный, может быть взломан за 6810 лет • A!-7n9aj234 – надежный, может быть взломан за 544770 лет
Злоумышленник находит в интернете сайт Компании X и решает атаковать его с целью доступа к внутренним ресурсам. На сайте обслуживания клиентов был проведен «тест на проникновение» (пентест), который подтвердил наличие уязвимостей. Эксплуатируя одну из них, нарушитель получает доступ к серверу, который, помимо основной информации, предоставляет пользователям Компании X инструмент для генерации отчетов. Позже компания обнаруживает, что приложение обслуживания клиентов функционирует нормально, однако функция стороннего чата не может точно идентифицировать пользователей. Это позволяет злоумышленнику обмануть представителей службы поддержки и изменить адрес электронной почты в учетной записи, что дает ему доступ к ней. Как злоумышленники могут получить доступ к конфиденциальным данным? Какие меры можно предпринять для защиты конфиденциальной информации и обеспечения информационной безопасности? Облачное хранилище можно защитить, предварительно зашифровав документы с помощью PGP или используя программу для создания архива с отсканированными документами. Вход в социальные сети, приложения для обмена сообщениями и электронную почту безопаснее осуществлять через специальные приложения, тогда как в браузерах лучше избегать ввода паролей. При создании архива следует выбрать опцию «непрерывный архив» (solid archive) и установить надежный пароль, например: «kn23iuhuio12njkpuiy89y7&R&TFTGIY*(UYT&T^GOUH*&GYUIHJK)». Помните, что онлайн-сервисы для хранения паролей ненадежны. Их часто взламывают. Пароли должны быть уникальными. Цифры и спецсимволы значительно усложняют процесс подбора. • не следует использовать общеизвестные факты для создания паролей (ваши имя, возраст, дату рождения, клички животных, имена близких родственников и т. п.); • легко взломать пароли, состоящие только из цифр или букв; • не следует использовать элементарные пароли типа 123456…, абвгд…; • подключайте дополнительное подтверждение входа — двухфакторную аутентификацию. Проверить надежность пароля можно на сайте 2ip.ru/passcheck. • persik1234 – ненадежный, возможно взломать за 254 часа • ANNa11 – ненадежный, возможно взломать за 14 секунд • Jack4321 – ненадежный, возможно взломать за 910 минут • 123456789 – ненадежный, возможно взломать за 0 секунд • ANNA_JACK – ненадежный, возможно взломать за 1889 часов • ANNAPERSIK – ненадежный, возможно взломать за 588 минут • A!-2na1234 – надежный, может быть взломан за 6810 лет • A!-7n9aj234 – надежный, может быть взломан за 544770 лет
Last modified: Tuesday, 3 December 2024, 9:49 AM