システム開発 - ネットワークセキュリティの問題とどのように防止するために

今日では、ネットワークセキュリティは、最も面倒な問題は、顧客であるされており、個人データの漏洩は、しばしば見られる。何がこのすべての原因となっている？
セキュリティーコンサルタントのジョエルスナイダー氏は多くのウェブマスターは、Web開発チームの問題を見過ごす言った、"あなたが主な目的は、最後に考慮することができる、非常に創造的で革新的な才能のサイトを構築することを見つける前に安全です。”
我々は、ネットワーク、アプリケーションや検証システムのさまざまな部分を区別するためのメカニズムのデータの移動を確保するためには、今はっきりと見ることができます。セキュリティ上の問題についての技術スタッフのウェブサイトの開発は十分な注意を払っていない。
。
。”
2004年という早い時期に、セキュリティ組織は、セキュリティ計画の開始時にウェブサイトから設計のニーズにしたが、ネットワークのセキュリティが強化されていません。しかし、安全性を向上高速ネットワーク、ネットワークセキュリティの脅威の人気とユーザー。AJAXは、リッチインターネットアプリケーション、この新技術などが、サイトをより魅力的に見えるのですが、セキュリティ上のリスクを増加させる。
以下は、最も一般的な脆弱性を修正するために、各問題の例と方法の詳細な説明を含む10個のネットワークセキュリティの脅威を攻撃するために、今日のハッカーによって使用される。

質問：これは、ほとんどのWebセキュリティ手順影響力の最大の危険な抜け穴は、Webブラウザにユーザーのデータを直接プログラムにXSSの脆弱性がされているコンテンツを特定し、コンパイルしていないときに。これは、悪意のあるスクリプトを実行するためにハッカーがユーザーデータをハイジャックさせ、サイトに挿入悪意のあるコンテンツにもブラックアウトのサイトだけでなく、フィッシング攻撃や悪意のあるソフトウェアを起動し、ブラウザを許可。
これらは、ハッカーは、ページのすべての制御を可能にするJavaスクリプトの形式で、通常攻撃。最悪の場合は、ハッカーが銀行の顧客であるふりをしたり、顧客情報を盗むことができたということです。
例：商品ハッカーが危険にさらされて自分のアカウントの顧客を警告しているページにアクセスするための別の商品のユーザーを欺いて、昨年に襲われた（オンライン決済、主に個人間のオンライン取引に使用されるすべての電子メールの人々を支払うことができる）。。。
リストに載っていない任意のデータを拒否するように黒とホワイトリストを使用し、入力データのすべてを識別する方法：顧客保護するために。
加えて、必要性が効果的に実行しているブラウザでスクリプトコードを注入防止することができる適切な出力データのエンコーディングを、攻撃の検出を可能にするための確認手順を使用する。
2。インジェクションの脆弱性
。インジェクションの脆弱性により、攻撃者は、Webアプリケーションを作成、読み取り、アップロード、削除任意のデータを許可する。最悪の場合、これらの脆弱性は、ネストされたファイアウォールの監視避けるために、攻撃者は、基本的なシステム、あるいは、完全なWebアプリケーションとの脅威を取ることができます。
例：ハッカーはロードアイランド州の州都のウェブサイトに侵入し、クレジットカードの大量のデータを盗んだ2006年1月。ハッカーは、公式の主張は、SQLインジェクション攻撃、53000クレジットカード番号の企業買収を使用するように主張しているだけで4113のデータ。
どのように顧客を保護するために：わずかを可能に通訳を使用するなど。。

問題：ハッカーは、リモートでコードが攻撃、リモートインストールrookitsを実行したり、完全にシステム全体を脅かす。長い間、それがユーザーのファイル名またはファイルを、Webアプリケーションのいずれかの形式受け入れる限り脆弱性があります。おそらくPHPのプログラミング言語に関連付けられている最も一般的な脆弱性です、多くのWeb開発者は、このスクリプト言語を使用する。
。米連邦取引委員会では（米連邦取引委員会）事件を調査するために、推測では、情報セキュリティをアップグレードして、来年には合意している。
どのように顧客を保護する：サーバーベースのリソースへのファイル名への入力データの任意のフォームにユーザーを許可しない。たとえば、スクリプトまたはリソースが含まれている画像について。ファイアウォールは、システム内のサイトにアクセスし、新しいリンクを防ぐために。
4。安全ではないセッション
。。銀行のWebサイトは、一般的にパスワードは、お客様のアカウントは使用される、それは可能性が顧客のアカウントのインターフェースを公開サイトです。。攻撃者は推測したり、これらのパラメータを攻撃することができます他の効果的な秘密鍵を見つける必要がある。一般的に、これらの数字が連続している。”
。電子メールを介してハッカーは、脆弱性の17000社に語った。
どのように顧客を保護するために：インデックスまたは間接的に参照するマップまたは物理的なセッションを指示への暴露を避けるために、他の迂回方法を使用します。。あなたが本当にサイトへのアクセスへの暴露を避けることができない場合は、特定のターゲットグループにのみ許可する。
5。クロスサイトリクエストフォージェリ
質問は：この問題は、非常にシンプルだが壊滅的な場合は、この攻撃は、Webブラウザは、Webアプリケーション上の悪意のある要求を送信するを参照し、被害者のコントロールになります。。。セキュリティー専門家たちは、クロスサイトリクエストフォージェリが応答するネットワークアプリケーションの99％がされていない、それが本当にものを盗むために、この脆弱性を利用して顧客からの預金をどうだ？自身が知ることができない銀行。銀行にとって、これは正当なユーザーはごく普通の転送です。。”
の例：2005年末までには、MySpace.comのWebサイトでSamyワームの名前を使用して、ハッカーがMySpaceのページが自動的に表示される数千人を含むユーザ情報以上の数を取得するための言葉"Samy私のヒーローです"。。しかし、事件のパワーを組み合わせるクロスサイトスクリプティングおよびクロスサイトリクエストフォージェリの使用方法を示しています。別の例では、一年前、Googleは外部サイトが無料のGoogleユーザーの言語設定を変更できるように抜け穴ということです。
どのようにユーザーを保護するために：ブラウザが自動的にリクエストと信頼のコードを受け入れる信じてはいけない。唯一の解決策は、ブラウザはあなたの好みを覚えておきましょうしないことです。
6。情報漏洩と危機への不適切なアプローチ
。。一般的に、情報、または重大な害を引き起こす自動的に攻撃を仕掛ける。
例：障害処理プログラムは、情報開示が避けられない場合でも、機密データの漏えいの脆弱性インシデント管理手順は、回避することは困難です。2005年の初めに、チョイスポイントの墜落現場は、このカテゴリに属する。。チョイスポイント社は、機密データを制限する措置を導入された情報製品の販売が含まれています。
どのようにユーザーを保護する：ツールのタイムリーな使用は、脆弱性や脅威のシステムをスキャンする。
7。認証およびセッション管理を解除するには
質問：ときがハイジャックされている場合があります、資格情報およびセッションタグを、ユーザと管理者アカウントを保護することはできません始まってから終わるまで、アプリケーション。注意プライバシー、承認し、ダメージコントロールを考慮。。
。この問題は、製品の販売代理店のネットワークによって引き起こされている脆弱性に開示されることへのパスワードの知識がなくても場合には、ユーザーがパスワードを再入力して強制的に、電子メールトロイの木馬の攻撃とのインターフェイスにHotmailの脆弱性を変更することができますが見つかりましたハッカー。
どのようにユーザーを保護するために：コミュニケーションおよび資格ストレージ、セキュリティを保証するために。ファイル転送プライバシーのSSL（セキュリティソケットレイヤーは、Secure Sockets Layer）プロトコルでのアプリケーションの認証部分のみが安全な選択です。。
8。安全でないパスワードの保存
質問：多くのWeb開発者は、パスワードはほとんどのWebアプリケーションコンポーネントに重要な場合でも、それらは忘れられているときに暗号化されたデータを格納するために。場合によっては、パスワードが、それだけで非常に単純なパスワードの場合でも、それは安全性を確保することは困難である。これらの脆弱性は、機密情報の開示につながるハッカーによって悪用される。
例：TJX（世界最大の小売業者のいずれか）、同社の脆弱性は、開示の顧客のクレジットカード番号を借方につながっている。。
。
これらの年は、非常に人気のある店クレジットカード番号されていることがペイメントカード業界データセキュリティ基準は、（クレジットカード業界データセキュリティ基準）に発効予定のエントリの、クレジットカード番号を防ぐために一緒に保存されますで学んだ専門のITネットワークれますがもっと簡単な。
9。安全でない通信
質問：前の質問に似ていますが、また、必要性は時間とネットワークトラフィックの暗号化は、適切な保護を提供することはできません機密情報を保護するために。。このような理由から、PCI規格は、伝送線路に暗号化されるクレジットカード情報を必要とする。
例：TJX会社は、。ウォールストリートジャーナルは研究者がハッカーによる無線侵入、現金を盗もうとしているレジスタとコンピュータ間のデータ交換を格納信じている報告。それは不可解であり、平均的な家庭のユーザーよりもワイヤレスネットワークのセキュリティデバイスの大企業の17.4億ドルのこの年間売上高は、実際にも、使用頻度の低い。。。
。同時にまた、あなたの顧客を確認する必要がありますで、パートナー、従業員や管理者は、SSLまたは同様の暗号化プロトコルを使用してオンラインでシステムにアクセスする。トランスポート層セキュリティやプロトコルレベルの暗号化を使用して、Webサーバーやデータベースシステムなど、組織のセキュリティ基盤を保護するために。
10。上のURLのアクセス制御の障害
。しかし、これらのページは、適切なURLアドレスを見つけるに至るまで、時々、ハッカーが推測する限りは本当の保護され。のIDを指しているURLアドレスが123456の場合、ハッカーはそれが何であるの123457したいのでしょうか？脆弱性の必須訪問（閲覧強制的に）ターゲット攻撃と呼ばれ、それがリンクされ、暴力保護されていないページを検索する技術を推測することによって。
例：今年のMacworld Conference＆ExpoのWebサイトは、ユーザーがプラチナ会員とSteve Jobsの施政方針演説に1700ドルの価値自由な1つを取得する可能性があります。この脆弱性の評価、クライアントの特権ではなく、サーバーようにではなくサーバーを介してよりも自由ブラウザのJavaスクリプトの人々が、。
。。
。ネットワークへの潜在的な脅威も増加し、群衆のハッキングに使用される、企業で、一見誤って抜け穴を防ぐために、真剣にネットワークセキュリティの問題を実行する必要がありますあなたとあなたのユーザーは、巨額の損失を与えた。
上海ココア業界のネットワークは完全に純粋な技術ベースのチームから形成されるのバックボーンであり、2005年にメンバーの大半はすでにそれが、Webデザイン、アニメーション、またはWebアプリケーションの開発であるかどうかは、WEB開発の仕事を始めており、データベースの開発は、国内ラインレベル。局の開設で長年の経験は、私たちは、顧客が必要なものを知って聞かせ、最も。。行うには最適化エンジンが、私はあなたのサイトが人気が高まっになると信じて。前へ：サイトの背景管理システム、検索エンジン最適化への重要性：[ソース：ココアネットワーク] [日付：] [タグ：防止するためにネットワークセキュリティ]を：Baidu〔百度〕の順位はどのように[このリンクアドレス]を計算することです。