हमसे जुडे

साइबर सुरक्षा

इयान थॉर्नटन-ट्रम्प के साथ साक्षात्कार - साइजैक्स

अवतार

प्रकाशित

on

इयान थॉर्नटन-ट्रम्प के कई धन्यवाद के साथ, साइजैक्स में CISO, सेफ्टी डिटेक्टिव्स के अवीवा जैक्स को अपनी कंपनी की खतरे की खुफिया सेवाओं के बारे में पता लगाने के लिए मिला।

सुरक्षा जासूस: कैनेडियन मिलिट्री और पुलिस में आपके अनुभव ने आपके साइबर कैरियर कैरियर को कैसे आकार दिया है?

इयान थॉर्नटन-ट्रम्प: यह सुरक्षा की संस्कृति में होना शुरू हो गया है और सुरक्षा के बुनियादी उपसर्गों में डूबा हुआ है। मैं धीरे-धीरे साइबर स्पेस के दायरे में विकसित हुआ: निश्चित रूप से, सूचना के वर्गीकरण, सूचना के वर्गीकरण और फिर अनधिकृत प्रकटीकरण के बारे में जोखिम मॉडल बनाने के मूल विचार। उस जानकारी के लिए महत्वपूर्ण बन गया। मेरा सैन्य करियर उस समय शुरू हुआ जब डाटा प्रोसेसिंग लगभग एक नई चीज थी। सुरक्षा के महत्व की बुनियादी समझ मुझमें बहुत कम उम्र से थी।

एसडी: साइबरहाइट्स को कम करने में आपकी कंपनी क्या मदद करती है?

आईटी: मेरा मानना ​​है कि सबसे अच्छा साइबरबैक वह है जो आपके साथ कभी नहीं होता है। खतरे की खुफिया जगह में काम करना, Cyjax.com एक विश्व स्तरीय साइबर धमकी इंटेलिजेंस फर्म है जो भविष्यवाणी करने में उत्कृष्ट है कि उस संगठन का क्या हो सकता है जिसका इंटरनेट पर एक्सपोज़र है, जिसे लक्षित किया जा सकता है, और उसके बाद कौन सा खतरा हो सकता है। इसलिए, जब आप उस सभी जानकारी को लेते हैं, और आप इसे एक संगठन के खतरे वाले मॉडल पर लागू करते हैं, तो आप हमारे द्वारा बनाए गए खुफिया उत्पादों के साथ अपने संगठन का बचाव करने का एक बहुत अच्छा विचार प्राप्त कर सकते हैं। यह पेशकश सुरक्षा खर्च को उचित प्रकार के खतरों के खिलाफ निर्देशित करके और अधिक प्रभावी बनाती है जिससे संगठन को सामना करने की संभावना है।

एसडी: क्या वर्टिकल आपकी सेवाओं का उपयोग करते हैं?

आईटी: वर्तमान में हम वित्तीय सेवाओं में संगठनों के साथ कार्यक्षेत्र, फार्मास्यूटिकल्स, सार्वजनिक क्षेत्र और यूके में पुलिसिंग का काम करते हैं।

एसडी: आपकी कंपनी प्रतिस्पर्धा से आगे कैसे रहती है?

आईटी: हम देखते हैं कि हमारे ग्राहकों को क्या चाहिए। हम सक्रिय रूप से अपने ग्राहकों के साथ उन क्षेत्रों को बेहतर बनाने के लिए काम करते हैं जो उन्हें लगता है कि मूल्य है। इसलिए, एक मायने में हम बहुत ग्राहक-चालित हैं जब यह विकास की बात करता है और उनके अनुरोधों का जवाब देता है। लेकिन मुझे लगता है कि कुल मिलाकर, हम यह देखते हैं कि भू-राजनीति और साइबर स्पेस दोनों में क्या हो रहा है और खतरे वाले अभिनेताओं और खतरों के संदर्भ प्रदान करते हैं। इस व्यापक विश्लेषण के परिणामस्वरूप, हम अक्सर उन भू राजनीतिक आंदोलनों से उपजी साइबर गतिविधि का अनुमान लगाते हैं। मेरा मानना ​​है कि भौतिक दुनिया में जो कुछ भी होता है वह साइबर दुनिया को प्रभावित करता है - कभी-कभी महत्वपूर्ण रूप से। स्थिति दोनों तरीकों से भी काम करती है: हम भू-राजनीतिक क्षेत्र में साइबर गतिविधि ड्राइविंग परिणाम देख सकते हैं। हम निश्चित रूप से संयुक्त राज्य अमेरिका, चीन, ईरान, उत्तर कोरिया और रूस के बीच संबंधों को वैश्विक विवाद और प्रतिस्पर्धा के मुख्य बिंदुओं के रूप में देखते हैं, जो निश्चित रूप से लगभग एक साथ साइबर में खेलते हैं। कभी-कभी हम एक प्रमुख समाचार घोषणा या नीति में एक प्रमुख बदलाव देखते हैं जो राष्ट्र राज्य प्रायोजित साइबर बलों और अन्य साइबर अपराधियों द्वारा तेजी से प्रतिध्वनित होता है। COVID-19 महामारी से संबंधित सभी हमले और घोटाले इसका एक आदर्श उदाहरण हैं।

एसडी: आज वहाँ सबसे खराब साइबर हमले क्या हैं?

आईटी: "सबसे खराब" मामले की व्याख्या हमेशा इस बात पर आधारित होती है कि आपके संगठन में क्या है "और क्या यह संभावित रूप से उजागर हुआ है।" अधिकांश व्यवसायों और संगठनों के लिए, इसलिए, अब सबसे संभावित हमला रैंसमवेयर है। हाल ही में, डेटा को एक्सफ़िल्ट करने के अतिरिक्त ट्विस्ट के साथ रैंसमवेयर और फिरौती के भुगतान को प्रोत्साहित करने के लिए उसे बंधक बनाकर रखा गया है ताकि चोरी की गई जानकारी सार्वजनिक रूप से जारी न हो, इस खतरे को एक नए स्तर पर ले जाया गया है। लेकिन फिर से, "सबसे खराब" की परिभाषा तरल है, क्योंकि कुछ संगठन बहुत ब्रांड संवेदनशील हैं। इसलिए, उदाहरण के लिए, हमने कुछ कानून फर्मों को देखा है जिन्होंने बड़े पैमाने पर डेटा उल्लंघनों का सामना किया है, और परिणामस्वरूप, ऑपरेशन को रोकना पड़ा। डेटा स्पेस जिसे "पनामा पेपर्स" के रूप में जाना जाता है, उस स्थान में "सबसे खराब" परिणाम का एक बहुत अच्छा उदाहरण है।

सभी संगठनों के लिए, यह सबसे खराब स्थिति का एक व्यापक स्पेक्ट्रम है, लेकिन यह किसी प्रकार के तकनीकी हमले के साथ शुरू होता है जिसमें संगठन के सिस्टम में प्रवेश शामिल है। बड़े पैमाने पर, संगठन में शामिल होने से लोगों को हेरफेर करने का सबसे आसान तरीका - "सोशल इंजीनियरिंग" मिलता है - उन्हें एक लिंक पर क्लिक करने या अपने बुनियादी ढांचे पर कुछ समझौता किए गए सॉफ़्टवेयर को स्थापित करने के लिए जो अनधिकृत पहुंच प्रदान करता है। सोशल इंजीनियरिंग के हमले कोई विशेष परिदृश्य नहीं हैं क्योंकि कुछ संगठन "आईटी स्प्राएल" को कॉल करने के लिए मुझे पसंद करते हैं: विलय और अधिग्रहण के माध्यम से क्लाउड प्लेटफॉर्म गोद लेने और अपने स्वयं के बुनियादी ढांचे के विस्तार दोनों में जबरदस्त वृद्धि। और अगर किसी विलय में भागीदार के पास पर्याप्त सुरक्षा से कम है, तो आपको अब वास्तव में एक बहुत ही जोखिम वाली स्थिति विरासत में मिली है। इसके अलावा, आपके पास इस बात की उचित दृश्यता नहीं हो सकती है कि आपने इस साझेदार के माध्यम से इंटरनेट का जो खुलासा किया है, वह एक अप्रकाशित प्रणाली के माध्यम से प्रवेश का एक आसान बिंदु है, या एक ऐसी सेवा जिसमें इंटरनेट के संपर्क में आने की संभावना है। मैरियट डेटा उल्लंघन, जब दो यात्रा बिंदु कार्यक्रमों को विलय कर दिया गया था, इसका एक उत्कृष्ट उदाहरण है।

हालांकि एक प्रणाली सुरक्षित और पैच और अपडेट की जा सकती है: कल एक सुरक्षा शोधकर्ता द्वारा एक गंभीर भेद्यता प्रकट की जा सकती है। सात से दस दिन की समयावधि के भीतर, यह साइबर अपराधियों द्वारा उस वैश्विक कमजोरी का फायदा उठाने के लिए जल्दी से अपनाया जाता है। और क्योंकि लगभग सब कुछ अब इंटरनेट से जुड़ा हुआ है, और साइबर अपराध कोई राष्ट्रीय सीमाओं का सम्मान नहीं करता है, यह अपरिहार्य है कि आप किस देश में हो सकते हैं या आपके पास क्या सिस्टम हो सकता है: वित्तीय रूप से संचालित खतरे वाले अभिनेता किसी भी चीज की तलाश करेंगे जो वैश्विक स्तर पर समझौता किया जा सकता है। जो भी भयावह भेद्यता का लाभ उठाकर प्रकट किया गया है।

एसडी: साइबर सिक्योरिटी अब कहां है कि हम इस महामारी से गुजर रहे हैं?

आईटी: हमने दो प्रमुख रुझान देखे हैं: पहला, बड़े पैमाने पर बुनियादी ढांचे के निवेश की आवश्यकता है। इसमें, निश्चित रूप से, सुरक्षा उपकरण और सेवाएँ शामिल हैं क्योंकि कई व्यवसायों को घर से बड़े पैमाने पर काम करने और एक महामारी की चुनौतियों से निपटने के लिए ठीक से स्थापित नहीं किया गया था, जिसमें दूरस्थ उपयोगकर्ताओं के वीपीएन के लिए उम्र बढ़ने की तकनीक और बैंडविड्थ की कमी है। इसलिए आपके कर्मचारियों को दूर से सहयोग करने और काम करने की क्षमता से निपटने के लिए सही निवेश करने का एक बड़ा अवसर है। मुझे लगता है कि अगले कुछ वर्षों में बहुत से निवेश करने जा रहे हैं, क्योंकि हम अपने व्यवसायों को दूर से काम करने के लिए जल्दबाजी में क्या करने का प्रयास करते हैं।

अन्य बड़ी प्रवृत्ति, निश्चित रूप से, डिजिटल परिवर्तन का एक हिस्सा है जो हम पिछले कुछ वर्षों से कर रहे हैं, जिसकी परिणति अचानक हुई है कि शायद डिजिटल की सुविधा के लिए हमारे पास आवश्यक सुरक्षा नहीं है संगठनात्मक जोखिम में वृद्धि के बिना परिवर्तन। हमने इसे उन संगठनों के साथ देखा है जो बहुत उत्साह से क्लाउड-आधारित ईमेल सेवाओं की ओर पलायन कर चुके हैं, केवल यह पता लगाने के लिए कि मल्टी-फैक्टर प्रमाणीकरण सक्रिय नहीं होने के कारण उन्हें ओवर टेक और समझौता करने के लिए उजागर किया गया है - यदि जो समझौता किया गया है वह एक विशेषाधिकार प्राप्त उपयोगकर्ता है, परिणाम विनाशकारी हो सकते हैं। जैसे-जैसे समय आगे बढ़ेगा, हम साइबर क्रिमिनल्स और एडवांस्ड पर्सिस्टेंट थ्रैट ग्रुप्स की प्रतिक्रिया देखेंगे, जो राष्ट्र राज्यों द्वारा समर्थित हैं, शोषण कर रहे हैं, बुनियादी ढाँचे को उजागर कर रहे हैं और इंटरनेट उपस्थिति के साथ किसी भी संगठन के खिलाफ लगातार हमले कर रहे हैं।

इसलिए वास्तव में, जिन प्रमुख क्षेत्रों पर हमें ध्यान केंद्रित करने की आवश्यकता है, उनमें से एक भेद्यता प्रबंधन है। यह सुनिश्चित कर रहा है कि हमारे उजागर सिस्टम सुरक्षित और सुरक्षित हैं, लेकिन उन प्रणालियों तक पहुंच को सीमित करना भी है। आखिरकार, जब आपके पास सीमित भौगोलिक पदचिह्न होते हैं, जब यह ग्राहकों और आपके अपने कर्मचारियों को आपके सिस्टम तक पहुंचाने के लिए आता है, तो आपने उन्हें पूरे इंटरनेट पर क्यों उजागर किया है? यह विवेकपूर्ण नहीं लगता है।

मुझे लगता है कि अन्य रुझानों में से एक बैक-टू-द-बेसिक्स दृष्टिकोण को अपनाना होगा, जहां हम सोलरविंड ओरियन जैसे आईटी आपूर्ति-श्रृंखला समझौता देखने के परिणामस्वरूप कई प्रणालियों को संरचनात्मक रूप से फिर से तैयार करने की उम्मीद करते हैं। हमें सिस्टम आर्किटेक्चर स्तर पर ध्यान देने की आवश्यकता है, ताकि हम दूरस्थ बाहरी उपयोगकर्ताओं और बाहरी ग्राहकों को ठीक से समायोजित कर सकें, सुरक्षित तरीके से कर सकें, और सभी आवश्यक सुरक्षा नियंत्रणों को भी लागू कर सकें।

स्रोत: https://www.safetydetectives.com/blog/interview-ian-thornton-trump-cyjax/

साइबर सुरक्षा

Chrome VPN मूल सुरक्षा सुरक्षा देता है

अवतार

प्रकाशित

on

प्रौद्योगिकी की उन्नति और बढ़ती-बढ़ती "ऑनलाइन" होने की आवश्यकता है, चाहे वह काम के लिए हो, खरीदारी के लिए हो, या बस जानकारी के लिए वेब ब्राउज़ कर रहा हो, दुर्भाग्य से, उन्नत कार्यों और तरीकों के साथ हाथ से हाथ जाता है जो हैकर्स और साइबर अपराधियों का उपयोग करते हैं अपनी व्यक्तिगत जानकारी और डेटा तक पहुँचें। 

उनके (या उसके) नमक के लायक कोई साइबर सुरक्षा विशेषज्ञ आपके व्यवसाय के लिए और आपके निजी निजी उपयोग के लिए वर्चुअल प्राइवेट नेटवर्क (वीपीएन) प्राप्त करने की सलाह देगा। अच्छी खबर यह है कि जो कोई भी इन वीपीएन ऐप्स के वास्तविक मूल्य के बारे में अभी भी संदेह में है, वह अब क्रोम के लिए मुफ्त वीपीएन ब्राउज़र एक्सटेंशन की कोशिश कर सकता है, जो निस्संदेह किसी भी आशंका को दूर करेगा और आपको अपना मन बनाने में मदद करेगा। 

इंटरनेट एक्सप्लोरर इन दिनों वेब ब्राउजर्स में आने पर एक दूर की स्मृति लगता है, और Google Chrome अभी कुछ समय के लिए सबसे आगे रहा है और तेजी से दुनिया का सबसे लोकप्रिय वेब ब्राउज़र बन गया है, इसलिए वास्तव में, यह वास्तव में आश्चर्यजनक नहीं है कि उपभोक्ता हैं उनकी पसंद है कि कृपा की Google Chrome के लिए वीपीएन मुफ्त है.

जब बहुमुखी प्रतिभा की बात आती है, तो Google क्रोम के पास बहुत कुछ है। क्रोम की सुरक्षा, स्थिरता और उपयोगकर्ता के अनुकूल सेट कुछ कारण हैं, जिनमें से अधिकांश उपभोक्ताओं ने इंटरनेट एक्सप्लोरर, फ़ायरफ़ॉक्स और एज से विदाई ली है और क्रोम के उपयोग की आसानी का विकल्प चुना है। क्रोम और एक्सटेंशन की उपलब्ध रेंज का उपयोग करके और उनके द्वारा प्रदान की जाने वाली कस्टमाइज़ेशन विकल्पों की अनगिनत संख्या, हे-प्रीस्टो, क्रोम एक bespoke पर्सनल ब्राउज़र में बदल जाता है, जिसे आपकी अपनी सटीक प्राथमिकताओं के लिए संशोधित, संशोधित और बारीक से ट्यून किया गया है, चाहे वे जो भी हों हो सकता है।

CyberGhost वीपीएन एक्सटेंशन है कि गूगल क्रोम Google के अनुसार मुफ्त में ऑफ़र इतने सरल हैं कि मूल रूप से कोई भी व्यक्ति इसे चला सकता है और एक मिनट से भी कम समय में इसका उपयोग कर सकता है।

आप जब तक चाहें इसे मुफ्त में उपयोग कर सकते हैं; अनिवार्य रूप से, एक मुफ्त वीपीएन प्रॉक्सी सर्वर जो अंततः उपयोगकर्ताओं को विश्व व्यापी वेब के सभी पहलुओं तक पहुंचने देता है और उन्हें भू-प्रतिबंधित वेबसाइटों को अनब्लॉक करने की सुविधा भी देता है।  

इस मुफ्त वीपीएन में दुनिया भर में 100 से अधिक सर्वर हैं, जो आपको उन कंटेंट को अनब्लॉक और एक्सेस करने की अनुमति देते हैं, जो आपके देश, स्कूल या कंपनी में आसानी से उपलब्ध नहीं हो सकते हैं। आपको बस अपने "सार्वजनिक" स्थान को बदलने और अपने आईपी पते को बदलने के लिए किसी भी स्थान पर किसी भी सर्वर से कनेक्ट करना होगा।

इंस्टॉलेशन निर्देश सरल और स्पष्ट हैं, और कुछ ही क्लिक के साथ, आपके पास क्रोम के लिए आपका मुफ्त वीपीएन होगा जो बाजार पर प्रॉक्सी सेवा का उपयोग करने के लिए सबसे तेज और सरल है। 

Chrome की निशुल्क वीपीएन सेवा का उपयोग करने के लिए आपको लॉग इन करने, पंजीकरण करने या खाता बनाने की आवश्यकता नहीं है। आप बस विस्तार स्थापित करते हैं, और आप जाने के लिए अच्छे हैं। एक बार वीपीएन एक्सटेंशन स्थापित हो जाने के बाद, आपको आश्वस्त होना चाहिए कि आपको अपनी सर्फिंग और अन्य गतिविधियों से ऑनलाइन निपटने का अधिकार है।

उपयोग में आसानी सर्वोपरि होनी चाहिए। इस बात पर निर्भर करते हुए कि आपने पहली बार वीपीएन का विकल्प क्यों चुना है, आप निस्संदेह यह सुनिश्चित करने के लिए देख रहे होंगे कि आपकी गोपनीयता संरक्षित है जबकि आप वेब सर्फ कर रहे हैं। आप एक वेबसाइट से सेंसरशिप को परिचालित करना चाहते हैं या अपने आईपी पते के स्थान के कारण भू-प्रतिबंधित होने वाली सामग्री तक पहुंच प्राप्त कर सकते हैं। बेशक, यह बिना कहे चला जाता है कि आपके पासवर्ड, एन्क्रिप्शन और प्रोटोकॉल का पालन करना चाहिए साइबर सुरक्षा अभ्यास और हैकर प्रूफ और वॉटरटाइट के रूप में वे अपने सभी मोबाइल उपकरणों पर हैं।

कुंजी प्रदर्शन स्तर भी महत्वपूर्ण हैं, खासकर यदि आप क्रोम का उपयोग करने के लिए देख रहे हैं स्ट्रीमिंग सेवाएं या टोरेंट डाउनलोड करना - आप नहीं चाहते कि आपका वीपीएन धीमा हो जो आप कर रहे हैं।

अलग-अलग कीमतों और ऑफ़र और मार्केटिंग फ़्लॉफ़ के बावजूद, जो कि कंपनियां आप पर फेंक रही होंगी, जबकि आप अपना मन बना लेते हैं कि कौन सी वीपीएन सेवा आपकी "जाने, ढेर के ऊपर, बाज़ार पर सबसे अच्छी" पसंद करने वाली है, उठाकर जब तक आप अपना अंतिम निर्णय नहीं लेते, तब तक एक मुफ्त विकल्प आपको बेहतर तरीके से सूट कर सकता है।

एक बार जब आप मुफ्त एक्सटेंशन सेवा प्रदान करने वाले लाभों को देखते हैं, तो पूर्ण वीपीएन पैकेज के लिए जाने के लिए इतनी छलांग नहीं होगी। ये लागत प्रभावी हैं और अधिकांश प्रदाता आपको घर, या कार्यस्थल पर कई उपकरणों पर वीपीएन स्थापित करने की अनुमति देते हैं। उनका उपयोग सेल फोन, लैपटॉप, डेस्कटॉप और टैबलेट पर किया जा सकता है।

पढ़ना जारी रखें

साइबर सुरक्षा

अनुप्रयोग सुरक्षा और कैसे उन्हें कम करने के लिए प्रमुख खतरों के तीन

अवतार

प्रकाशित

on

इंटरनेट और मोबाइल ऐप पर हमारे जीवन की बढ़ती निर्भरता के साथ, आवेदन सुरक्षा महत्वपूर्ण है, अब पहले से कहीं अधिक है। 

हमारे जीवन में अनुप्रयोगों का महत्व अधिक नहीं हो सकता है। हम उन पर निर्भर हैं जो डेटिंग से लेकर बैंकिंग तक और बहीखाते से लेकर निजी संदेश भेजने तक सब कुछ करते हैं। 

हमारे जीवन में कितने आवश्यक अनुप्रयोग हैं, इसका अनुमान लगाने के लिए, 105 में 2018 बिलियन एप्लिकेशन डाउनलोड किए गए। पिछले दो वर्षों में यह संख्या 25 प्रतिशत से अधिक बढ़ी है।

इसका मतलब है कि एक चीज, आवेदन यहां काफी समय तक रहने के लिए हैं। और अगर उन्हें हमारे जीवन का हिस्सा बनना है, तो वे बेहतर तरीके से सुरक्षित रहेंगे।

आप कुछ भी सुरक्षित नहीं कर सकते हैं जब तक आप नहीं जानते कि वास्तव में आप इसके खिलाफ क्या कर रहे हैं। उस मामले के लिए, हम उन कुछ सामान्य सुरक्षा खतरों पर नज़र डालेंगे जिनका सामना करना पड़ रहा है। फिर हम देखेंगे कि उन्हें कैसे कम किया जा सकता है।

प्रमुख आवेदन सुरक्षा खतरे 

उचित आयामों के किसी भी ब्लॉग पोस्ट में कवर किए जाने की तुलना में अधिक आवेदन खतरे हैं। हमने आपको एक डेवलपर या उपयोगकर्ता के रूप में स्पष्ट करने के लिए आपको जो भी जानकारी देने की आवश्यकता है, उसके लिए सबसे आम खतरों को उठाया है।

ब्रूट फोर्स हैकिंग 

यह एक सुरक्षित वातावरण में हैकिंग का सबसे आदिम और शायद सबसे कच्चा तरीका है। जैसा कि नाम से पता चलता है, ये हमले किसी अनुप्रयोग में तोड़ने के लिए बल के उपयोग पर निर्भर करते हैं। 

जिस तरह से यह किया गया है वह सरल है। एक हैकर पासवर्ड का अनुमान लगाने के लिए अक्षरों, प्रतीकों, और अंकों के सभी संभावित संयोजनों की कोशिश करने के लिए एक कंप्यूटर प्रोग्राम करता है। 

निश्चित रूप से, कंप्यूटर को पासवर्ड को क्रैक करने में काफी समय लगता है लेकिन पर्याप्त समय दिए जाने पर ऐसा हर बार हो सकता है। 

अब तक, इस तरह के हमले को रोकने या रोकने के लिए कोई सक्रिय बचाव नहीं हैं। कुछ उपाय हैं जो संभावना को कम कर सकते हैं। 

ब्रूट फोर्स हैकिंग से कैसे बचें?

वहाँ दो चीजें हैं जो एक जानवर बल के हमले के खिलाफ एक आवेदन सुरक्षित कर सकते हैं: 

  • एक मजबूत पासवर्ड का उपयोग जिसमें अक्षरों, संख्याओं और प्रतीकों का एक लंबा संयोजन होता है। 
  • एक निश्चित अवधि के भीतर एक आईपी पते से अनुमत लॉगिन प्रयासों की संख्या को सीमित करना।

इंजेक्शन हैकिंग

अनुप्रयोगों पर हमलों का एक अन्य सामान्य रूप इंजेक्शन हमलों है। ऐसे हमलों का लक्ष्य ज्यादातर वेब-आधारित अनुप्रयोग हैं जो उपयोगकर्ता द्वारा प्रदान किए गए डेटा पर चलते हैं। 

जिस तरह से ये हमले काम करते हैं, वह डेटा को "इंजेक्ट" करके एप्लिकेशन में होता है जो सिस्टम की सुरक्षा को भीतर से समझौता करता है।

सबसे आम प्रकार के इंजेक्शन हैकिंग हमलों में क्रॉस-साइट स्क्रिप्टिंग, कोड इंजेक्शन और SQL इंजेक्शन हमले शामिल हैं।

क्रॉस-साइट स्क्रिप्टिंग 

ये ऐसे हमले हैं जहां हमलावर दुर्भावनापूर्ण स्क्रिप्ट को एक विश्वसनीय एप्लिकेशन में इंजेक्ट करते हैं। यह एप्लिकेशन को इन स्क्रिप्ट को निष्पादित करने और उपयोगकर्ताओं के बारे में संवेदनशील जानकारी को उजागर करने वाले तरीके से व्यवहार करने का कारण बनता है। 

कोड इंजेक्शन हमलों 

इन हमलों में, हैकर्स दुर्भावनापूर्ण कोड को इसमें इंजेक्ट करके एप्लिकेशन से समझौता करते हैं। निष्पादित होने पर, ये कोड एप्लिकेशन को ठीक से काम करने से रोक सकते हैं।

एसक्यूएल इंजेक्षन 

इन हमलों में दुर्भावनापूर्ण SQL कोड के साथ एप्लिकेशन को इंजेक्ट करना शामिल है। यह हैकर्स के लिए दूर से अनुप्रयोग को नियंत्रित करने और अपने डेटाबेस में संवेदनशील डेटा तक पहुंचने के लिए संभव बनाता है।

इंजेक्शन हैकिंग को कैसे रोकें? 

ब्रूट फोर्स हैकिंग के विपरीत, इंजेक्शन हैकिंग को रोका जा सकता है। यहां कुछ एहतियाती उपाय दिए गए हैं जो ऐसे हमलों के खिलाफ आवेदन सुरक्षित कर सकते हैं:

  • ऐप में प्राप्त करने के लिए सख्त पहुँच मापदंड लागू करें।
  • ऐप में उपयोगकर्ताओं द्वारा दर्ज किए गए सभी डेटा के लिए मजबूत स्क्रीनिंग उपायों को रखें।

मालवेयर अटैक 

मैलवेयर शायद सबसे बड़ा खतरा है जो न केवल अनुप्रयोग सुरक्षा लेकिन एक पूरे के रूप में कंप्यूटर सिस्टम के लिए।

यह मुख्य रूप से हर साल बाजार में आने वाले नए मैलवेयर की सरासर मात्रा के कारण है। यह अनुमान है कि अकेले 317 में 2018 मिलियन नए कंप्यूटर वायरस और मैलवेयर बनाए गए थे।

मैलवेयर के प्रभाव एक से दूसरे में भिन्न होते हैं, लेकिन एक बार जब वे एक आवेदन को संक्रमित कर लेते हैं, तो वे: 

  • साइबर अपराधियों को आवेदन में अवैध रूप से बैकडोर बनाने की अनुमति दें। 
  • एप्लिकेशन को अनधिकृत पहुंच दें।
  • बड़े पैमाने पर डेटा उल्लंघनों और गोपनीयता समझौता में परिणाम। 

मैलवेयर हमलों को कैसे रोकें

जैसे-जैसे नए मैलवेयर हर दिन सामने आ रहे हैं, इस समस्या का एक विलक्षण समाधान नहीं हो सकता है। हालांकि, मैलवेयर के खिलाफ आवेदन सुरक्षा में सुधार किया जा सकता है: 

  • जगह-जगह मजबूत एंटीवायरस और फायरवॉल लगाना।
  • एक नए खतरे के रूप में और जब आवेदन के लिए सुरक्षा पैच जारी करना। 
  • कमजोरियों के लिए ऐप को स्कैन करना और उन्हें ठीक करना।

जबकि ये सभी उपाय विशिष्ट हमलों के खिलाफ अनुप्रयोगों को सुरक्षित करने के लिए हैं, कुछ चीजें हैं जिन्हें एप्लिकेशन को सुरक्षित बनाने के लिए एप्लिकेशन विकास प्रक्रिया का एक हिस्सा बनाने की आवश्यकता है।

विकास पर्यावरण को सुरक्षित बनाना 

यह बिना कहे चला जाता है कि डेवलपर्स के लिए अनुप्रयोगों को सुरक्षित बनाने के लिए यह सबसे महत्वपूर्ण है। हालाँकि, जैसा आपने लिखा है, उसे प्रमाणित करना बहुत कठिन है, सुरक्षा उपायों को लागू करने के लिए यह एक अहम् बात है। 

हाल के एक अध्ययन से पता चला है कि वैश्विक स्तर पर 83% डेवलपर्स उचित सुरक्षा उपायों को लागू किए बिना अपने ऐप जारी करते हैं।

यहाँ कुछ चीजें हैं जो हर डेवलपर को आवेदन सुरक्षा सुनिश्चित करने के लिए करने की आवश्यकता है: 

  • अनुप्रयोगों को उद्योग के नेताओं और नियामकों के सुरक्षा मानकों के अनुसार विकसित किया जाना चाहिए। 
  • अपडेट और पैच को नियमित रूप से मैलवेयर के कभी-कभी खतरे से निपटने के लिए जारी किया जाना चाहिए।
  • आवेदन के सभी ओपन-सोर्स घटकों को विनियमित किया जाना चाहिए और आवेदन सुरक्षा मानकों का पालन किया जाना चाहिए।

हालांकि, एप्लिकेशन सिक्योरिटी सुनिश्चित करने के लिए केवल डेवलपर्स तक ही सीमित नहीं है। एप्लिकेशन उपयोगकर्ताओं को यह सुनिश्चित करने के लिए कि वे जिन एप्लिकेशन का उपयोग करते हैं और उनके पास मौजूद डेटा सुरक्षित हैं, उन्हें भी अपनी भूमिका निभानी होगी। उपयोगकर्ता जो चीजें कर सकते हैं उनमें शामिल हैं:

  • लंबे और मिश्रित पासवर्ड का उपयोग जो कंप्यूटर के लिए भी अनुमान लगाना कठिन है। 
  • उनके उपकरणों पर एक फ़ायरवॉल स्थापित करें।
  • किसी भी स्रोत से कोई भी एप्लिकेशन डाउनलोड न करें।
  • उनकी साख सुरक्षित रखें। 

पढ़ना जारी रखें

साइबर सुरक्षा

फिनटेक रैंसमवेयर लक्ष्य हैं। इसे रोकने के लिए यहां 9 तरीके दिए गए हैं।

अवतार

प्रकाशित

on

साइबर क्रिमिनल चालाक होते हैं, और वे अक्सर दो कारणों से फिनटेक को निशाना बनाते हैं। वे जानते हैं कि फिनटेक दैनिक आधार पर बहुत अधिक संवेदनशील और वित्तीय जानकारी संभालते हैं, और संभवत: उनके पास हैकर्स की मांगों को पूरा करने और हमेशा की तरह व्यवसाय में वापस आने का साधन है।

रैंसमवेयर के हमले सबसे आम फिनटेक साइबर सुरक्षा जोखिमों में से एक हैं, और किसी के गिरने का शिकार कम से कम विनाशकारी या विघटनकारी हो सकता है। इसलिए, हमने विशेषज्ञों से पूछा ESET रैनसमवेयर से बचाव के तरीके के बारे में बताने के लिए, और अपने व्यवसाय को अंदर से सुरक्षित करें।

सबसे पहले, रैंसमवेयर क्या है और यह कैसे काम करता है?

रैंसमवेयर हमले के साथ, साइबर पीड़ित अपने सिस्टम में हैक कर लेते हैं और अनिवार्य रूप से अपना डेटा "बंधक" तब तक रखते हैं जब तक वे फिरौती नहीं देते। चूंकि हैकर्स जानते हैं कि किसी व्यवसाय के लिए कितना मूल्यवान डेटा है, वे हजारों या लाखों डॉलर में फिरौती सेट करते हैं।

दो प्रकार के हमले हैं: क्रिप्टो रैंसमवेयर संक्रमित कंप्यूटर पर सभी फ़ाइलों, फ़ोल्डरों और हार्ड ड्राइव को एन्क्रिप्ट करता है, जबकि लॉकर रैंसमवेयर उपयोगकर्ताओं को अपने उपकरणों से बाहर निकालता है। साइबर अपराधियों के लिए, लक्ष्य आपको भुगतान करने के लिए मिलता है ताकि आप अपनी फ़ाइलों को पुनः प्राप्त कर सकें और अपने व्यवसाय को किसी भी नुकसान को कम कर सकें।

रैंसमवेयर अटैक के बाद क्या करें

दुर्भाग्य से, आपके पास बहुत सारे विकल्प नहीं हैं यदि आप रैंसमवेयर हमले का शिकार होते हैं। आपको फिरौती का भुगतान करने या न करने का निर्णय लेने की आवश्यकता होगी, और जिसमें आपका डेटा कितना है उसका वजन शामिल है। बस इस बात का ध्यान रखें कि साइबर अपराध की मांगों को देने से उन्हें फिर से आप पर हमला करने के लिए प्रोत्साहित किया जा सकता है - और इस बात की कोई गारंटी नहीं है कि आपका डेटा बहाल हो जाएगा।

किसी भी तरह से, आपदा वसूली मोड में तुरंत जाना महत्वपूर्ण है। रैनसमवेयर मिलने पर क्या करें, इसके लिए इन चरणों का पालन करें:

1. अपने आईटी विभाग को सचेत करें। यदि आपकी कंपनी के पास आईटी पेशेवर या मुख्य सूचना सुरक्षा अधिकारी हैं, तो उन्हें हमले के बारे में सूचित करें। उम्मीद है, उनके पास इन स्थितियों के लिए कार्यों की एक योजना होगी और इन चरणों के माध्यम से आपकी टीम का मार्गदर्शन करने में सक्षम होंगे।

2. हमले के स्रोत का पता लगाएं। अधिकांश रैंसमवेयर हमलों में आपकी सभी फ़ाइलों को हमेशा के लिए हटाए जाने से पहले एक उलटी गिनती घड़ी होती है, इसलिए जितनी जल्दी आप स्रोत ढूंढते हैं, उतनी ही तेज़ी से आप कार्य कर सकते हैं। आमतौर पर, रैंसमवेयर आपके सिस्टम में एक दुर्भावनापूर्ण लिंक या ईमेल अटैचमेंट के माध्यम से अपना रास्ता बनाता है। सबसे अच्छी स्थिति यह है कि रैंसमवेयर केवल एक उपकरण पर हमला करता है, और सबसे खराब स्थिति यह है कि यह आपके पूरे सिस्टम को संक्रमित करता है। एक बार जब आप अपराधी को ढूंढ लेते हैं, तो उपयोगकर्ता से पूछते हैं कि क्या उन्होंने अन्य संदिग्ध ईमेल खोले हैं या उनके कंप्यूटर के बारे में कुछ भी अजीब है।

3. उस डिवाइस को अपने नेटवर्क से हटा दें। रैंसमवेयर को अपने नेटवर्क से फैलने से रोकने के लिए, आपको संक्रमित डिवाइस को अनप्लग करना होगा।

4. अपने कर्मचारियों और ग्राहकों को उल्लंघन के बारे में बताएं। हालांकि यह महत्वपूर्ण है कि आतंक पैदा न करें, आपको पारदर्शी होने की आवश्यकता है। सच्चाई यह है कि अधिकांश साइबर उल्लंघनों में मानवीय त्रुटि का परिणाम होता है, इसलिए आपके कर्मचारियों को यह जानना होगा कि क्या हुआ और उनसे क्या उम्मीद की जाती है। अपने ग्राहकों या ग्राहकों के लिए, उनसे संपर्क करें यदि आपके पास सबूत है कि उनके डेटा से समझौता किया गया है। दूसरे शब्दों में, जब तक आपके पास सारी जानकारी न हो तब तक बयान देने से बचें।

5. बेहतर सुरक्षा प्रणालियों में निवेश करें। जब आप बाद में हो गए हैं, तो फिनटेक प्रथाओं में अधिक परिष्कृत साइबर स्पेस को देखें।

रैंसमवेयर के हमलों को रोकने के 9 तरीके

रैंसमवेयर अविश्वसनीय रूप से आम है, और जैसा कि अब आप जानते हैं, एक हमले से निपटने के सीमित तरीके हैं। आपको सक्रिय और तैयार रहने की जरूरत है, और एक हमले को रोकने के उपायों को लागू करना है।

जैसा कि आपने अनुमान लगाया होगा, फिनटेक साइबरसिटी प्राथमिकता होनी चाहिए। रैंसमवेयर से बचाव के तरीके ये हैं: 

परिष्कृत ईमेल फ़िल्टर सेट करें। रैंसमवेयर का अधिकांश हिस्सा स्पैम या फ़िशिंग ईमेल द्वारा दिया जाता है। अपने सिस्टम को संक्रमित करने का मौका देने से पहले रैंसमवेयर को रोकने के लिए, ईमेल फ़िल्टर, जो स्पैम, वायरस और मैलवेयर के अन्य रूपों के लिए सभी ईमेल सामग्री को स्कैन करते हैं, को नियोजित करें।

नियमित सुरक्षा ऑडिट चलाएं। यह किसी भी अंतराल या कमजोरियों की पहचान करने के लिए आपकी सुरक्षा प्रणालियों का आकलन करने के लायक है। यदि आप कर सकते हैं, तो अपने साइबरटेक को आउटसोर्स करने, संसाधनों को पुनः प्राप्त करने या घर के पेशेवरों को काम पर रखने पर विचार करें ताकि आपके मन को शांति मिले।

अप-टू-डेट एंटीवायरस और एंटी-रैंसमवेयर सॉफ़्टवेयर का उपयोग करें। अपने कंपनी के उपकरणों को रैंसमवेयर, मैलवेयर, पहचान की चोरी और अधिक से बचाने के लिए, व्यवसायों के लिए डिज़ाइन किया गया तृतीय-पक्ष एंटीवायरस सॉफ़्टवेयर स्थापित करें। व्यापार के लिए ईएसईटी डिजिटल सुरक्षा उन्नत साइबर खतरों की एक सीमा के खिलाफ सर्वश्रेष्ठ रैंसमवेयर सुरक्षा और रक्षा प्रदान करता है, और आपके फिनटेक के आकार और दायरे के अनुरूप हो सकता है। लगातार खतरों को रोकने के साथ, यह आपके डिवाइस को एंडपॉइंट सुरक्षा के साथ सुरक्षित करता है, जो विशेष रूप से आसान है यदि आपके पास कर्मचारी हैं जो दूर से काम करते हैं।

सभी सॉफ़्टवेयर अद्यतन स्वीकार करें। साइबर सुरक्षा कंपनियां अक्सर बग को ठीक करने और कमजोरियों को दूर करने के लिए नए पैच जारी करती हैं, यही कारण है कि किसी भी अपडेट के शीर्ष पर रहना आवश्यक है। दूसरे शब्दों में, आपके पास दुनिया का सबसे परिष्कृत एंटीवायरस रैंसमवेयर सॉफ्टवेयर हो सकता है, लेकिन अगर आप हर नोटिफिकेशन को नजरअंदाज करते हैं, तो इससे आपको कोई फायदा नहीं होगा! अपडेट आमतौर पर डाउनलोड करने में कुछ मिनट लगते हैं और आपको अपने कंप्यूटर को पुनरारंभ करने की आवश्यकता होती है, लेकिन वे आपकी कंपनी को रैंसमवेयर से बहुत कम असुरक्षित बनाते हैं।

बहु-कारक प्रमाणीकरण को लागू करें। टू-फैक्टर ऑथेंटिकेशन अच्छा है, लेकिन मल्टी-फैक्टर ऑथेंटिकेशन बेहतर है। इसका मतलब है कि कर्मचारियों को अपने उपयोगकर्ता नाम, पासवर्ड और अतिरिक्त जानकारी के एक और टुकड़े को दर्ज करने की आवश्यकता होगी - आमतौर पर कोड को उनके फोन या ईमेल पर भेजा जाता है - इससे पहले कि वे सिस्टम में प्रवेश कर सकें। इससे हैकर्स के लिए भी इसमें सेंध लगाना मुश्किल हो जाता है।

एक श्वेतसूची कार्यक्रम बनाएँ। यह रैंसमवेयर को रोकने में प्रभावी है, और इसमें उन अनुप्रयोगों को प्रतिबंधित करना शामिल है जो आपकी कंपनी की प्रणाली के भीतर चल सकते हैं। इसे ब्लैकलिस्टिंग के विपरीत के रूप में सोचो - केवल आवेदन जो अनुमोदन प्रक्रिया से गुजर चुके हैं, काम करेंगे।

अपनी कंपनी फ़ाइलों को एन्क्रिप्ट करें। आदर्श रूप से, आपके सभी डेटा को एंड-टू-एंड एन्क्रिप्टेड होना चाहिए, और उन लोगों तक सीमित होना चाहिए जिन्हें अपने काम करने के लिए उस जानकारी की आवश्यकता होती है। अच्छी खबर यह है, अधिकांश कंप्यूटर और फोन में अंतर्निहित ऑपरेटिंग सिस्टम होते हैं जो संग्रहीत डेटा को एन्क्रिप्ट करते हैं और अनधिकृत उपयोगकर्ताओं को रोकते हैं।

अपनी क्लाउड सुरक्षा को कस लें। क्लाउड की बात करें तो कुछ क्लाउड सेवाएं सुरक्षित एन्क्रिप्शन की पेशकश नहीं करती हैं और क्लाउड तक पहुंचने की कोशिश कर रहे अधिकृत उपयोगकर्ताओं और अन्य लोगों के बीच अंतर नहीं कर सकती हैं। ESET बादल कार्यालय सुरक्षा आपकी क्लाउड सुरक्षा को कॉन्फ़िगर करेगा ताकि हैकर्स आपकी कंपनी की नीतियों को दरकिनार न कर सकें और संवेदनशील जानकारी पर टैप कर सकें।

नियमित रूप से अपने डेटा और सिस्टम का बैकअप लें। नियमित रूप से अपने डेटा का बैकअप लेने से, यदि आपका सर्वर क्रैश हो जाता है या आप रैंसमवेयर हमले का शिकार हो जाते हैं तो आप किसी भी खोए हुए या दूषित डेटा को पुनर्प्राप्त करने में सक्षम होंगे। हम हमेशा दो एन्क्रिप्टेड बैकअप रखने की सलाह देते हैं: एक बादल पर, और एक बाहरी हार्ड ड्राइव।

आज ESET के साथ संपर्क में जाओ!

अपने व्यवसाय को अंदर से बचाने के लिए तैयार हैं? रैंसमवेयर के साथ, रोकथाम हमेशा इलाज से बेहतर है, इसलिए ईएसईटी की साइट पर जाएं ताकि उनके बारे में अधिक जानकारी प्राप्त की जा सके शीर्ष रेटेड साइबर सुरक्षा सिस्टम.

Coinsmart। यूरोपा में बेस्टे बिटकॉइन-बोरसे
स्रोत: https://australianfintech.com.au/fintechs-are-ransomware-targets-here-are-9-ways-to-prevent-it/

पढ़ना जारी रखें

साइबर सुरक्षा

असुरक्षित प्रत्यक्ष वस्तु संदर्भ (IDOR) क्या हैं?

अवतार

प्रकाशित

on

HackerOne हैकर दोपहर प्रोफाइल तस्वीर

@hacker0x01HackerOne

HackerOne दुनिया को एक सुरक्षित इंटरनेट बनाने का अधिकार देता है।

असुरक्षित प्रत्यक्ष वस्तु संदर्भ (या IDOR) एक साधारण बग है जो एक पंच पैक करता है। जब शोषण किया जाता है, तो यह हमलावरों को संवेदनशील डेटा या पासवर्ड तक पहुंच प्रदान कर सकता है या उन्हें सूचना को संशोधित करने की क्षमता प्रदान कर सकता है। HackerOne पर, 200 से अधिक पाए जाते हैं और हर महीने ग्राहकों को सुरक्षित रूप से सूचित किया जाता है। 

IDOR क्या है?

IDOR हमलों के कई प्रकार हैं, जिनमें शामिल हैं:

  • शरीर में हेरफेर, जिसमें हमलावर आसानी से अन्य उपयोगकर्ताओं से जानकारी प्राप्त करने के लिए एक चेकबॉक्स, रेडियो बटन, एपीआई और फ़ील्ड के मान को संशोधित करते हैं।
  • URL छेड़छाड़जिसमें HTTP रिक्वेस्ट में पैरामीटर्स को ट्वीक करके URL क्लाइंट के एंड में संशोधित किया गया है। 
  • HTTP अनुरोध जिसमें IDOR भेद्यताएं आमतौर पर GET, POST, PUT और DELETE क्रियाओं में पाई जाती हैं।
  • बड़े पैमाने पर असाइनमेंट, जहां डेटा को संशोधित करने के लिए एक रिकॉर्ड पैटर्न का दुरुपयोग किया जा सकता है जिसे उपयोगकर्ता तक पहुंचने में सक्षम नहीं होना चाहिए। हमेशा आईडीओआर कमजोरियों का परिणाम नहीं होने के बावजूद, इसके कई शक्तिशाली उदाहरण हैं। 

अपने सरलतम और सबसे सामान्य रूप में, एक IDOR भेद्यता तब उत्पन्न होती है जब उपयोगकर्ता से सामग्री तक पहुंचने या बदलने के लिए एकमात्र इनपुट आवश्यक होता है। इस जोखिम कैलिफोर्निया स्थित हैकर रजन रिजाल (उर्फ) द्वारा शोपिफाई करने के लिए प्रस्तुत किया गया @ बृजलालोचन) 2018 में इसका सटीक उदाहरण है।

Shopify के Exchange Marketplace एप्लिकेशन को एक क्वेरी भेजते समय फ़ाइल अनुलग्नकों को कैसे लेबल किया गया था, इसका अवलोकन करके, Rojan विभिन्न खातों से एक ही फ़ाइल नाम का लाभ उठाकर दस्तावेज़ों को बदलने में सक्षम था। 

चित्र 1: HackerOne प्लेटफ़ॉर्म पर Shopify को @rijalrojan द्वारा रिपोर्ट की गई IDOR भेद्यता।

खुदरा और ईकॉमर्स कंपनियों के लिए, IDOR भेद्यताएं 15% का प्रतिनिधित्व करती हैं जो संगठन सरकार के लिए बाउंस का भुगतान करते हैं और सरकार (18%), चिकित्सा प्रौद्योगिकी (36%), और पेशेवर सेवाओं (31%) उद्योगों के लिए शीर्ष भेद्यता का प्रतिनिधित्व करते हैं। 

यदि वे इतने सरल हैं, तो वे इतने सामान्य क्यों हैं? 

संक्षेप में, IDORs का पता केवल टूल्स द्वारा नहीं लगाया जा सकता है। 

पहचान के लिए IDORs को रचनात्मकता और मैन्युअल सुरक्षा परीक्षण की आवश्यकता होती है। उन्हें आपको लक्ष्य एप्लिकेशन के व्यावसायिक संदर्भ को समझने की आवश्यकता है। हालांकि कुछ स्कैनर गतिविधि का पता लगा सकते हैं, यह विश्लेषण, मूल्यांकन और व्याख्या करने के लिए एक मानव आंख लेता है। गहरे संदर्भ को समझना एक सहज मानवीय कौशल है जिसे मशीनें दोहरा नहीं सकती हैं। पारंपरिक पंचकोणों में, जब तक कि प्रत्येक अनुरोध समापन बिंदु में एक पंचक हर संभावित पैरामीटर का परीक्षण नहीं करता है, तब तक ये कमजोरियाँ पूर्ववत चल सकती हैं। 

IDOR भेद्यता के निहितार्थ क्या हैं? 

शायद देर से सबसे बदनाम IDOR भेद्यता है, जो ऑल-टेक सोशल मीडिया प्लेटफॉर्म Parler में पाया जाता है। कंपनी ने URL में संख्या के आधार पर अपने पोस्ट का आदेश दिया, IDOR का एक संकेत चिन्ह। यदि आप एक पारलर पोस्ट URL में अनुक्रमिक अंक जोड़ते हैं, तो आप अगली पोस्ट को अनिश्चित काल के लिए प्लेटफॉर्म पर एक्सेस कर सकते हैं। प्रमाणीकरण या पहुंच सीमा के बिना, एक हमलावर आसानी से पूरी साइट से हर पोस्ट, फोटो, वीडियो और डेटा डाउनलोड करने के लिए एक कार्यक्रम बना सकता है। जबकि यह सिर्फ सार्वजनिक पोस्ट (जरूरी नहीं कि खातों को सत्यापित करने के लिए इस्तेमाल की जाने वाली आईडी) हो, पोस्टों से जियोलोकेशन डेटा भी डाउनलोड किया गया था, जो उपयोगकर्ताओं के घरों के जीपीएस निर्देशांक को प्रकट कर सकता है।  

आप IDORs को क्रॉप करने से कैसे रोक सकते हैं?

हैकर से बचने के लिए हैकर ने कहा कि IDOR से बचना केवल एक मजबूत एक्सेस कंट्रोल तंत्र का निर्माण करना है, अपने परिदृश्य के लिए सबसे अच्छी फिट कार्यप्रणाली का चयन करना, सभी एक्सेस को लॉग इन करना और यदि संभव हो तो एक ऑथराइजेशन चेक के साथ ऑडिट करना है। @manoelt.

"हालांकि, अगर आप एक IDOR के प्रभाव को कम करना चाहते हैं, तो बैकएंड में ऑब्जेक्ट्स को संदर्भित करने के लिए एक सरल पैटर्न का उपयोग करने से बचें, इस प्रकार एक अनुक्रमिक पूर्णांक मान का उपयोग नहीं कर रहे हैं, लेकिन यूआईडी या मैक (हैशेड आईडी) जैसी कोई चीज़ नमक उपयोगकर्ता सत्र के अनुसार।

यह आईडीओआर को समाप्त नहीं करता है, लेकिन समग्र प्रभाव और वस्तुओं की गणना करने की क्षमता को कम करता है। "

आईडीओआर कमजोरियों को दूर करने के लिए, नीचे कुछ सर्वोत्तम अभ्यास दिए गए हैं। 

  1. डेवलपर्स को निजी ऑब्जेक्ट संदर्भ जैसे कि चाबियाँ या फ़ाइल नाम प्रदर्शित करने से बचना चाहिए।
  2. मापदंडों का सत्यापन ठीक से लागू किया जाना चाहिए।
  3. सभी संदर्भित वस्तुओं के सत्यापन की जाँच की जानी चाहिए।
  4. टोकन इस तरह से जनरेट किए जाने चाहिए कि यह केवल उपयोगकर्ता को मैप किया जा सके और सार्वजनिक न हो।
  5. सुनिश्चित करें कि संसाधन के स्वामी के लिए क्वेरीज़ को स्कोप किया गया है। 
  6. अनुक्रमिक आईडी पर UUIDs (यूनीली यूनिक आइडेंटिफ़ायर) का उपयोग करने जैसी चीज़ों से बचें क्योंकि UUIDs अक्सर IDOR भेद्यताओं को कम नहीं होने देते हैं।

जोखिम को कम करने और हैकर द्वारा संचालित सुरक्षा के साथ शुरुआत करने के बारे में अधिक जानकारी के लिए, हमारी जाँच करें CISOs हैकर-संचालित सुरक्षा से व्युत्पन्न मूल्य के लिए गाइड.

टैग

हैकर दोपहर में शामिल हों

अपने कस्टम पढ़ने के अनुभव को अनलॉक करने के लिए अपना निःशुल्क खाता बनाएं।

Coinsmart। यूरोपा में बेस्टे बिटकॉइन-बोरसे
स्रोत: https://hackernoon.com/what-are-insecure-direct-object-references-idor-hz1j33e0?source=rss

पढ़ना जारी रखें
ब्लॉक श्रृंखला5 घंटे

एलोन मस्क ने डॉगकोइन औफ नेज अल्जिथोच को ट्विटर किया

eSports5 घंटे

सीएस: जीओ - एक खेल जो अभी भी एक उच्च का पीछा करता है

eSports8 घंटे

सुमैल की अनुपस्थिति; एक अंतर वर्ष या अनुग्रह से गिर गया?

ब्लॉक श्रृंखला9 घंटे

15. बीएनबी बर्न: बिनेंस जेरस्टार्ट सिक्के इम वर्ट वॉन 600 एमियो। USD

eSports11 घंटे

Fortnite: एपिक वाल्ट्स रॉकेट लांचर, कडलफिश और प्रतिस्पर्धी से विस्फोटक धनुष

eSports13 घंटे

ओवरवॉच लीग 2021 डे 1 रिकैप

eSports13 घंटे

C9 व्हाइट कीती ब्लैकमेल स्कैंडल में अचानक हुई गड़बड़ी की व्याख्या

eSports15 घंटे

LoL गेमप्ले डिज़ाइन निर्देशक ने खींचा, जिसे दंगा के MMO में स्थानांतरित किया गया

eSports15 घंटे

लीग ऑफ लीजेंड्स में रेनेकटन का मुकाबला कैसे करें

eSports15 घंटे

3 बड़े कारण क्यों Dota 2 के नए नायक Dawnbreaker सिर्फ बुरा है

eSports16 घंटे

ड्यूटी लीग चरण 3 होम सीरीज विवरण की कॉल

eSports16 घंटे

बहादुर माउस गाइड: आप के लिए सही DPI खोजें

eSports16 घंटे

हॉवोक रिजेक्ट्स फ्लोरिडा मुटिनेर्स स्टार्टिंग रोस्टर

eSports17 घंटे

स्रोत: फ्लॉपी को क्लाउड 9 ब्लू की VALORANT टीम में बदलने के लिए

eSports17 घंटे

Booba.tv क्या है? नई साइट Twitch पर सेक्स अपील को उजागर करती है

eSports17 घंटे

OpTic Pros Claim टोरंटो अल्ट्रा में सीडीएल में “अनफेयर” एडवांटेज है

eSports17 घंटे

बंगी का अगला गेम कथित तौर पर एस्पोर्ट्स तैयार होगा

eSports17 घंटे

PS5 की समीक्षा पर FFXIV: बिल्कुल एक शॉट देने के लायक

eSports17 घंटे

एनआरजी एस्पोर्ट्स के साथ लेवी की फाइनल भागीदारी एक अच्छी फिट है

eSports18 घंटे

2021 एनबीए 2K लीग सीज़न के लिए बकस गेमिंग के साथ लेकलैंड यूनिवर्सिटी पार्टनर्स

eSports18 घंटे

KylieBitkin ने XQc ड्रामा के बाद NoPixel GTA सर्वर से प्रतिबंधित कर दिया

eSports18 घंटे

इंद्रधनुष छह घेराबंदी FPL लैटिन अमेरिका में फैलता है

eSports18 घंटे

गेमर्स क्लब और दंगा गेम्स लैटिन अमेरिका में महिलाओं के वेलोरेंट सर्किट का आयोजन करते हैं

eSports18 घंटे

लीग ऑफ लीजेंड्स का नवीनतम चैंपियन ग्वेन कैसे खेलें

eSports19 घंटे

टारिक ईविल जीनियस से नीचे कदम रखता है, वालो को संबोधित करता है

eSports19 घंटे

फीफा 21: सीज़न की टीम के लिए मतदान कैसे करें

eSports19 घंटे

एमटीजी एरिना स्ट्रीचवेन मानक डेक की कोशिश करने के लिए

eSports19 घंटे

ड्यूटी लीग चरण 3 समूहों की कॉल से पता चला

eSports19 घंटे

Fortnite शेष परिवर्तन और हथियार अद्यतन - 15 अप्रैल

eSports20 घंटे

Fortnite: ड्रीमहैक पोस्टपोन ओपन इंटीग्रिटी कंसर्न के लिए डुओस टूर्नामेंट

रुझान