Гибкая разработка подтолкнула многие компании к невообразимому успеху. Неудача быстро, неудача вперед стала одним из самых популярных лозунгов, которым руководствуются сегодняшние стартапы. В то время как большинство стартапов работают на способности производить свои продукты и услуги с высокой скоростью, эта тенденция также может открыть компанию для уязвимостей веб-безопасности, которые могут быстро стать причиной неудачи в бизнесе.
Ashley Madison, канадский стартап, предоставляющий услуги онлайн-знакомств и социальные сети для людей, состоящих в браке или состоящих в отношениях, вышел на рынок с момента своего появления в 2002 году. Команда опытных разработчиков постоянно совершенствует ассортимент продукта и внедряет новые функции для поддерживать интерес пользователей и привлекать новых клиентов на платформу знакомств, компания стремительно росла.
Однако в 2015 году группа, назвавшая себя «The Impact Team», смогла извлечь личную информацию о каждом пользователе сайта Ashley Madison. Группа пригрозила раскрыть имена пользователей и личную информацию, если Эшли Мэдисон не будет немедленно закрыта. Когда компания этого не сделала, группа хакеров утекла более 25 гигабайт данных компании, включая данные пользователей.
В результате взлома Ashley Madison потеряла более четверти своего дохода, а пользователи покинули его сайт. Затраты компании были настолько велики, что Эшли Мэдисон предложила 500 000 канадских долларов за информацию, ведущую к аресту хакеров. Теперь, почти два года спустя, компания изо всех сил пытается защитить коллективный иск на 576 миллионов долларов от имени пользователей, понесших ущерб в результате взлома, в дополнение к негативной рекламе, в которой компания упоминается как причина многих самоубийств пользователей.
Разработчикам программного обеспечения может быть легко погрузиться в процесс разработки, не принимая во внимание потенциальные риски безопасности, которые могут представлять опечатки или упущения в коде. Тем не менее, в конце концов, безопасность веб-сайта — это все, что действительно имеет значение. Если веб-сайт не может предотвратить потенциальные утечки информации и угрозы со стороны хакеров, то весь код, на котором построен веб-сайт, по существу бесполезен.
Эшли Мэдисон — просто недавний пример компании, которая была практически уничтожена из-за утечки данных, которую можно было легко избежать. Ваша компания должна не только знать о потенциальных дырах в системе безопасности и уязвимостях веб-сайтов, которые подвергают риску ваш бизнес, но и понимать, как избежать некоторых из наиболее распространенных недостатков безопасности, которые могут помочь поддерживать процветание бизнеса и заполнять ваш сайт пользователями.
SQL-инъекции
Одной из самых недооцененных ошибок и одной из 10 лучших OWASP (The Open Web Application Security Project) являются SQL-инъекции. SQL-инъекции происходят, когда злоумышленник может отправлять команды SQL в формы ввода и запрашивать вашу базу данных, манипулировать или удалять данные или выполнять любые другие злонамеренные действия, которые влияют на ваш веб-сайт или базу пользователей.
SQL-инъекции обычно выполняются на веб-странице, которая запрашивает аутентификацию пользователя, например на странице входа. Однако они не ограничиваются страницами входа в систему и могут быть внедрены практически в любое поле ввода, которое ищет данные. Злоумышленник, который может выполнить успешную SQL-инъекцию, может сделать себя суперпользователем и получить доступ администратора к базе данных компании.
SQL-инъекции позволяют злоумышленникам потенциально блокировать учетные записи пользователей, копировать все содержимое базы данных в свою собственную базу данных или получать конфиденциальную информацию, такую как имена, номера телефонов, адреса электронной почты и информацию о кредитных картах.
Чтобы защитить вашу базу данных и целостность компании, подготовьте свои операторы SQL с параметризованными запросами, избегайте всех пользовательских вводов и применяйте минимальные привилегии или тайм-ауты для попыток входа в систему. Эти простые меры предосторожности могут занять немного больше времени в краткосрочной перспективе, но они могут помочь предотвратить много головной боли в долгосрочной перспективе.
Гибкая разработка подтолкнула многие компании к невообразимому успеху. Неудача быстро, неудача вперед стала одним из самых популярных лозунгов, которым руководствуются сегодняшние стартапы. В то время как большинство стартапов работают на способности производить свои продукты и услуги с высокой скоростью, эта тенденция также может открыть компанию для уязвимостей веб-безопасности, которые могут быстро стать причиной неудачи в бизнесе.
Ashley Madison, канадский стартап, предоставляющий услуги онлайн-знакомств и социальные сети для людей, состоящих в браке или состоящих в отношениях, вышел на рынок с момента своего появления в 2002 году. Команда опытных разработчиков постоянно совершенствует ассортимент продукта и внедряет новые функции для поддерживать интерес пользователей и привлекать новых клиентов на платформу знакомств, компания стремительно росла.
Однако в 2015 году группа, назвавшая себя «The Impact Team», смогла извлечь личную информацию о каждом пользователе сайта Ashley Madison. Группа пригрозила раскрыть имена пользователей и личную информацию, если Эшли Мэдисон не будет немедленно закрыта. Когда компания этого не сделала, группа хакеров утекла более 25 гигабайт данных компании, включая данные пользователей.
В результате взлома Ashley Madison потеряла более четверти своего дохода, а пользователи покинули его сайт. Затраты компании были настолько велики, что Эшли Мэдисон предложила 500 000 канадских долларов за информацию, ведущую к аресту хакеров. Теперь, почти два года спустя, компания изо всех сил пытается защитить коллективный иск на 576 миллионов долларов от имени пользователей, понесших ущерб в результате взлома, в дополнение к негативной рекламе, в которой компания упоминается как причина многих самоубийств пользователей.
Разработчикам программного обеспечения может быть легко погрузиться в процесс разработки, не принимая во внимание потенциальные риски безопасности, которые могут представлять опечатки или упущения в коде. Тем не менее, в конце концов, безопасность веб-сайта — это все, что действительно имеет значение. Если веб-сайт не может предотвратить потенциальные утечки информации и угрозы со стороны хакеров, то весь код, на котором построен веб-сайт, по существу бесполезен.
Эшли Мэдисон — просто недавний пример компании, которая была практически уничтожена из-за утечки данных, которую можно было легко избежать. Ваша компания должна не только знать о потенциальных дырах в системе безопасности и уязвимостях веб-сайтов, которые подвергают риску ваш бизнес, но и понимать, как избежать некоторых из наиболее распространенных недостатков безопасности, которые могут помочь поддерживать процветание бизнеса и заполнять ваш сайт пользователями.
Одной из самых недооцененных ошибок и одной из 10 лучших OWASP (The Open Web Application Security Project) являются SQL-инъекции. SQL-инъекции происходят, когда злоумышленник может отправлять команды SQL в формы ввода и запрашивать вашу базу данных, манипулировать или удалять данные или выполнять любые другие злонамеренные действия, которые влияют на ваш веб-сайт или базу пользователей.
SQL-инъекции обычно выполняются на веб-странице, которая запрашивает аутентификацию пользователя, например на странице входа. Однако они не ограничиваются страницами входа в систему и могут быть внедрены практически в любое поле ввода, которое ищет данные. Злоумышленник, который может выполнить успешную SQL-инъекцию, может сделать себя суперпользователем и получить доступ администратора к базе данных компании.
SQL-инъекции позволяют злоумышленникам потенциально блокировать учетные записи пользователей, копировать все содержимое базы данных в свою собственную базу данных или получать конфиденциальную информацию, такую как имена, номера телефонов, адреса электронной почты и информацию о кредитных картах.
Чтобы защитить вашу базу данных и целостность компании, подготовьте свои операторы SQL с параметризованными запросами, избегайте всех пользовательских вводов и применяйте минимальные привилегии или тайм-ауты для попыток входа в систему. Эти простые меры предосторожности могут занять немного больше времени в краткосрочной перспективе, но они могут помочь предотвратить много головной боли в долгосрочной перспективе.
Уже более десяти лет еще одной из самых больших угроз безопасности веб-сайтов является межсайтовый скриптинг (XSS). По сути, это своего рода SQL-инъекция, атаки с использованием межсайтовых сценариев происходят, когда бизнес не может предотвратить внедрение сценариев в поля формы или текстовые вводы или даже манипулирование данными URL-пути.
Это может показаться простой проблемой, но она настолько серьезна, что даже крупные компании, такие как Google и Facebook, в прошлом были уязвимы для XSS. Google активно вознаграждает всех, кто находит уязвимости на своих платформах. Когда хакер может внедрить скрипты на ваш веб-сайт, это означает, что он может украсть, манипулировать или делать все, что захочет, с вашими бизнес-данными пользователей и любыми другими данными, которые пользователи вам доверили.
Лучший способ предотвратить атаки с использованием межсайтовых сценариев — использовать заголовки Content-Security-Policy и файлы cookie только для HTTPS, а также никогда не принимать нефильтрованные данные или сохранять вводимые формы в базе данных без предварительной очистки данных.
Поддерживайте успех своего гибкого процесса, отслеживая распространенные уязвимости веб-сайтов и предпринимая дополнительные шаги для обеспечения безопасности вашего сайта и его пользователей. Это может означать разницу между успехом в бизнесе и неудачей в бизнесе.
Межсайтовый скриптинг (XSS)
Уже более десяти лет еще одной из самых больших угроз безопасности веб-сайтов является межсайтовый скриптинг (XSS). По сути, это своего рода SQL-инъекция, атаки с использованием межсайтовых сценариев происходят, когда бизнес не может предотвратить внедрение сценариев в поля формы или текстовые вводы или даже манипулирование данными URL-пути.
Это может показаться простой проблемой, но она настолько серьезна, что даже крупные компании, такие как Google и Facebook, в прошлом были уязвимы для XSS. Google активно вознаграждает всех, кто находит уязвимости на своих платформах. Когда хакер может внедрить скрипты на ваш веб-сайт, это означает, что он может украсть, манипулировать или делать все, что захочет, с вашими бизнес-данными пользователей и любыми другими данными, которые пользователи вам доверили.
Лучший способ предотвратить атаки с использованием межсайтовых сценариев — использовать заголовки Content-Security-Policy и файлы cookie только для HTTPS, а также никогда не принимать нефильтрованные данные или сохранять вводимые формы в базе данных без предварительной очистки данных.
Поддерживайте успех своего гибкого процесса, отслеживая распространенные уязвимости веб-сайтов и предпринимая дополнительные шаги для обеспечения безопасности вашего сайта и его пользователей. Это может означать разницу между успехом в бизнесе и неудачей в бизнесе.
