ذہن میں رکھنے کے لئے تین ویب اطلاق کے حفاظتی اسباق۔ سیمالٹ ماہر جانتے ہیں کہ سائبر مجرموں کا شکار بننے سے کیسے بچیں

2015 میں ، پونمون انسٹی ٹیوٹ نے "اسٹاک کرائم آف سائبر کرائم" کے ایک مطالعہ سے انکشافات جاری کیے ، جو انھوں نے کروائے تھے۔ یہ حیرت کی بات نہیں ہوئی کہ سائبر کرائم کی قیمت میں اضافہ ہو رہا ہے۔ تاہم ، اعداد و شمار توڑ رہے تھے. سائبرسیکیوریٹی وینچرز (عالمی سطح پر) ایسے منصوبے جن کی لاگت ہر سال 6 ٹریلین ڈالر ہوجائے گی۔ اوسطا ، کسی تنظیم کو سائبر جرم کے بعد واپس آنے میں 31 $ دن لگتے ہیں جس کی قیمت لگ بھگ 9 639 500 ہوتی ہے۔

کیا آپ جانتے ہیں کہ سائبر جرائم کے تمام اخراجات میں 55 فیصد تکمیل سروس (ڈی ڈی او ایس اٹیک) ، ویب پر مبنی خلاف ورزیوں اور بدنیتی پر مبنی اندرونی ذمہ داریوں پر مشتمل ہے؟ اس سے نہ صرف آپ کے اعداد و شمار کو خطرہ لاحق ہوگا بلکہ اس سے آپ کو محصول بھی ضائع ہوسکتا ہے۔

سیمالٹ ڈیجیٹل سروسز کے کسٹمر کامیابی مینیجر ، فرینک ابگناال ، 2016 میں کی جانے والی خلاف ورزیوں کے درج ذیل تین معاملات پر غور کرنے کی پیش کش کرتے ہیں۔

پہلا معاملہ: موساک-فونسیکا (پاناما پیپرز)

پانامہ پیپرز اسکینڈل 2015 میں مشہور ہوا ، لیکن ان لاکھوں دستاویزات کی وجہ سے جو 2016 میں ختم کرنا پڑیں ، اس کی وجہ سے اسے اڑا دیا گیا تھا۔ غیر ملکی اکاؤنٹس میں ان کی رقم. اکثر ، یہ مشکوک تھا اور اخلاقی خط کو عبور کیا۔ اگرچہ موساک-فونسیکا ایک ایسی تنظیم تھی جو رازداری میں مہارت حاصل کرتی تھی ، لیکن اس کی معلومات کی سلامتی کی حکمت عملی قریب قریب موجود تھی۔ شروع کرنے کے لئے ، ورڈپریس امیج سلائیڈ پلگ ان کا استعمال پرانی ہوگیا۔ دوم ، انھوں نے 3 سالہ پرانے ڈروپل کا استعمال مشہور خطرات کے ساتھ کیا۔ حیرت کی بات یہ ہے کہ تنظیم کے سسٹم منتظمین کبھی بھی ان مسائل کو حل نہیں کرتے ہیں۔

اسباق:

• > ہمیشہ یہ یقینی بنائیں کہ آپ کے CMS پلیٹ فارم ، پلگ ان اور تھیمز باقاعدگی سے اپ ڈیٹ ہوں۔
• > تازہ ترین CMS سیکیورٹی کے خطرات کے ساتھ اپ ڈیٹ رہیں۔ جملہ ، ڈروپل ، ورڈپریس اور دیگر خدمات کے پاس اس کے لئے ڈیٹا بیس موجود ہیں۔
• > ان پر عمل درآمد اور چالو کرنے سے پہلے تمام پلگ انز کو اسکین کریں

دوسرا معاملہ: پے پال کی پروفائل تصویر

فلوریئن کورٹیلی (ایک فرانسیسی سافٹ ویئر انجینئر) نے پے پال کی نئی سائٹ ، پے پال.me میں ایک CSRF (کراس سائٹ درخواست جعل سازی) کا خطرہ پایا۔ عالمی آن لائن ادائیگی دیو نے تیز رفتار ادائیگیوں میں آسانی کے ل Pay پے پال.می کی نقاب کشائی کی۔ تاہم ، پے پال ڈیم کا استحصال کیا جاسکتا ہے۔ فلوریئن ترمیم کرنے میں کامیاب تھا اور یہاں تک کہ اس نے صارف کی پروفائل تصویر کو اپ ڈیٹ کرنے کے ساتھ ہی CSRF ٹوکن کو حذف کردیا۔ جیسا کہ یہ تھا ، کوئی بھی شخص اپنی تصویر آن لائن فیس بک کے ذریعہ آن لائن حاصل کر کے کسی کی نقالی شکل دے سکتا ہے۔

اسباق:

• > صارفین کے لئے منفرد CSRF ٹوکن حاصل کریں - یہ انفرادیت کا ہونا چاہئے اور جب بھی صارف لاگ ان ہوتا ہے اسے تبدیل کرنا چاہئے۔
• > فی درخواست ٹوکن - مذکورہ بالا نقطہ کے علاوہ ، جب بھی صارف ان کے لئے درخواست کرے تو یہ ٹوکن بھی دستیاب کردیئے جائیں۔ یہ اضافی تحفظ فراہم کرتا ہے۔
• > وقت ختم - اگر اکاؤنٹ کچھ وقت غیر فعال رہتا ہے تو خطرے کو کم کرتا ہے۔

تیسرا معاملہ: روسی وزارت خارجہ کو ایکس ایس ایس شرمندگی کا سامنا ہے

اگرچہ زیادہ تر ویب حملوں کا مقصد کسی تنظیم کی آمدنی ، وقار اور ٹریفک کو تباہ کرنا ہوتا ہے ، لیکن کچھ کا مطلب شرمندہ کرنا ہوتا ہے۔ مثال کے طور پر ، ہیک جو روس میں کبھی نہیں ہوا تھا۔ ایسا ہی ہوا: ایک امریکی ہیکر (جسٹر کا نام جیسٹر ہے) نے کراس سائٹ اسکرپٹنگ (ایکس ایس ایس) کے خطرے کا استحصال کیا جو اس نے روس کی وزارت خارجہ کی وزارت کی ویب سائٹ پر دیکھا تھا۔ جیسٹر نے ایک ڈمی ویب سائٹ بنائی جس میں سرکاری ویب سائٹ کے نقطہ نظر کی نقالی کی گئی سوائے شہ سرخی کے ، جسے انہوں نے اپنی تضحیک کرنے کے لئے اپنی مرضی کے مطابق بنا لیا۔

اسباق:

• > HTML مارک اپ کو صاف کریں
• > جب تک آپ اس کی تصدیق نہیں کرتے ڈیٹا داخل نہ کریں
• > زبان کے (جاوا اسکرپٹ) ڈیٹا کی قدروں میں عدم اعتماد والے ڈیٹا کو داخل کرنے سے پہلے جاوا اسکرپٹ فرار کا استعمال کریں
• > DOM پر مبنی XSS خطرات سے خود کو بچائیں