Video: Jaha Tum Rahoge | Maheruh | Amit Dolawat & Drisha More | Altamash Faridi | Kalyan Bhardhan (Nobyembre 2024)
Ginawa ng Swiss infosec company na High-Tech Bridge ang balita noong nakaraang taon sa pamamagitan ng pagpapahiya sa Yahoo sa nag-aalok ng higit pa sa isang T-shirt bilang isang bug na halaga. Ang uri ng pananaliksik na ito ay hindi ginagawa ng mga mananaliksik ng HTB araw-araw, bagaman. Ang kanilang pangunahing pokus ay ang pagkilala sa mga kahinaan at paglabas ng mga advisory ng seguridad na may kaugnayan sa kanilang mga natuklasan. Ang grupo ay naglabas ng 62 mga advisory noong 2013, at nakita ang isang pangkalahatang pagpapabuti sa pagtugon sa industriya.
Mga Tagapagsalita ng Tagapagsalita
Ayon sa isang inilabas na ulat na HTB, ang mga vendor ay naglabas ng mga patch para sa naiulat na mga problema nang mas mabilis kaysa noong 2012. Gayundin, "ang karamihan ng mga nagbebenta ay inalerto ang kanilang mga end-user tungkol sa mga kahinaan sa isang patas at mabilis na paraan, " kung saan sa nakaraang maraming tahimik na naka-patch ang problema o binawi ang panganib. Ang ulat ay tumawag sa Mijosoft (hindi Microsoft) para sa hindi magandang mga kasanayan sa seguridad.
Ang average na oras upang i-patch ang mga kritikal na kahinaan ay nabawasan mula sa 17 araw sa 2012 hanggang 11 araw sa 2013, isang kahanga-hangang pagbawas. Ang mga katamtamang panganib na kahinaan ay nagawa nang mas mahusay, mula 29 araw hanggang 13 araw. Pag-unlad na iyon, ngunit mayroong silid para sa pagpapabuti. Ang ulat na ang tala na "11 araw upang i-patch ang mga kritikal na kahinaan ay pa rin isang medyo matagal na pagkaantala."
Tumaas na pagiging kumplikado
Ayon sa ulat, nakakakuha ng mas mahirap para sa mga masasamang tao upang makilala at pagsamantalahan ang mga kritikal na kahinaan. Kailangan nilang magsagawa ng mga diskarte tulad ng mga pag-atake ng nakakulong, kung saan ang pagsasamantala sa isang kritikal na kahinaan ay posible lamang matapos matagumpay na paglabag sa isang hindi kritikal.
Ang ilang mga kahinaan ay na-downgraded mula sa mataas na peligro o kritikal sa daluyan na panganib sa panahon ng 2013. Partikular, ang mga ito ay mga pagsasamantala na maaari lamang maisagawa pagkatapos ma-napatunayan o naka-log in ang nagsasalakay. Ang tala ng ulat na ang mga nag-develop ay dapat mag-isip tungkol sa seguridad kahit sa mga lugar lamang maa-access sa mga pinagkakatiwalaang mga gumagamit, dahil ang ilan sa mga pinagkakatiwalaang partido na "maaaring sa katunayan ay medyo magalit."
Ang mga in-house developer ay kailangang magbayad ng labis na pansin sa seguridad. Ang SQL Injection at Cross-Site Scripting ay ang pinaka-karaniwang pag-atake, at ang mga in-house application ay ang pinaka-karaniwang biktima ng naturang pag-atake, sa 40 porsyento. Ang susunod na mga plugin ng System Management Management (CMS), na may 30 porsyento, na sinusundan ng maliit na CMSs sa 25 porsyento. Ang mga break sa totoong malaking CMS tulad ng Joomla at WordPress ay gumawa ng malaking balita, ngunit ayon sa HTB ay bumubuo lamang sila ng limang porsyento ng kabuuang. Maraming mga platform sa blogging at CMSs ang nananatiling mahina laban dahil ang kanilang mga may-ari ay nabibigo na mapanatili itong ganap na mai-patched, o mabigong i-configure nang maayos.
Kaya, paano mo maiwasan ang pagkakaroon ng kompromiso sa iyong website o CMS? Ang ulat ay nagtapos na kailangan mo ng "hybrid na pagsubok kapag ang awtomatikong pagsubok ay pinagsama sa manu-manong pagsusuri sa seguridad ng isang tao." Ito ay darating na walang sorpresa na malaman na ang High Tech Bridge ay nag-aalok ng eksaktong uri ng pagsubok na ito. Ngunit tama sila. Para sa totoong seguridad, nais mo ang pag-atake ng mga mabubuting lalaki at ipakita sa iyo ang kailangan mong ayusin.
