סייבער באַפאַלן: וואָס עס איז, ווי עס אַרבעט, אָביעקטיוו און ווי צו פאַרמייַדן עס: סקל ינדזשעקשאַן באַפאַלן

א סייבער אטאקע איז defiנאַבאַל ווי אַ פייַנדלעך טעטיקייט קעגן אַ סיסטעם, אַ געצייַג, אַ אַפּלאַקיישאַן אָדער אַן עלעמענט וואָס האט אַ קאָמפּיוטער קאָמפּאָנענט. עס איז אַן אַקטיוויטעט וואָס ציל צו באַקומען אַ נוץ פֿאַר די אַטאַקער אויף די קאָסט פון די אַטאַקירט. הייַנט מיר קוקן אין די SQL ינדזשעקשאַן באַפאַלן

עס זענען פאַרשידענע טייפּס פון סייבער אנפאלן, וואָס בייַטן לויט די אַבדזשעקטיווז צו זיין אַטשיווד און די טעקנאַלאַדזשיקאַל און קאָנטעקסטואַל סינעריאָוז:

• סייבער אַטאַקס צו פאַרמייַדן אַ סיסטעם פון פאַנגקשאַנינג, 
• אַז פונט צו די קאָמפּראָמיס פון אַ סיסטעם, 
• עטלעכע אנפאלן ציל פּערזענלעך דאַטן אָונד דורך אַ סיסטעם אָדער פירמע,
• סייבער-אַקטיוויזם אנפאלן אין שטיצן פון סיבות אָדער אינפֿאָרמאַציע און קאָמוניקאַציע קאַמפּיינז
• עטק ...

צווישן די מערסט פּראָסט אנפאלן, אין די לעצטע צייט, עס זענען אנפאלן פֿאַר עקאָנאָמיש צוועקן און אנפאלן פֿאַר דאַטן פלאָוז. נאָך אַנאַלייזינג די מענטש אין די מיטל, די מאַלוואַרע און די פישינג, אין די לעצטע וואָכן, הייַנט מיר זען דיסקל ינדזשעקשאַן באַפאַלן. 

מען רופט די וואס פירן די סייבער אטאקע אליין אדער אין גרופעס העקער

סקל ינדזשעקשאַן באַפאַלן

SQL ינדזשעקשאַן איז געווארן אַ פּראָסט פּראָבלעם מיט דאַטאַבייס-געטריבן וועבסיטעס. עס אַקערז ווען אַ אַטאַקער עקסאַקיוץ אַ SQL אָנפֿרעג צו די דאַטאַבייס דורך אַרייַנשרייַב דאַטן פון דעם קליענט צו די סערווער. סקל קאַמאַנדז זענען ינסערטאַד אין די דאַטן פלאַך אַרייַנשרייַב (פֿאַר בייַשפּיל, אין פּלאַץ פון די לאָגין אָדער פּאַראָל) צו ויספירן SQL קאַמאַנדז איידערdefiניט. א געראָטן סקל ינדזשעקשאַן עקספּלויט קענען לייענען שפּירעוודיק דאַטן פון די דאַטאַבייס, מאָדיפיצירן (אַרייַנלייגן, דערהייַנטיקן אָדער ויסמעקן) דאַטאַבייס דאַטן, דורכפירן אַדמיניסטראַציע אַפּעריישאַנז (אַזאַ ווי שאַטדאַון) אויף די דאַטאַבייס, צוריקקריגן די אינהאַלט פון אַ געגעבן טעקע, און אין עטלעכע קאַסעס. , אַרויסגעבן קאַמאַנדז אויף די אָפּערייטינג סיסטעם.

פֿאַר בייַשפּיל, אַ וועב פאָרעם אויף אַ וועבזייטל קען בעטן אַ באַניצער 'ס חשבון נאָמען און דערנאָך פאָרלייגן עס צו די דאַטאַבייס צו עקסטראַקט פֿאַרבונדן חשבון אינפֿאָרמאַציע ניצן דינאַמיש סקל ווי דאָס:

"SELECT * FROM users WHERE account = '" + userProvidedAccountNumber + "';"

ווען די באַפאַלן אַרבעט, ווייַל די חשבון שייַן איז געסט, עס לאָזן אַ לאָך פֿאַר אַטאַקערז. פֿאַר בייַשפּיל, אויב עמעצער באַשלאָסן צו צושטעלן אַ חשבון שייַן "'אָדער' 1 '=' 1 '", דאָס וואָלט רעזולטאַט אין אַ שטריקל:

"SELECT * FROM וסערס WHERE חשבון = '' אָדער '1' = '1';"

זינט '1' = '1' איז שטענדיק אמת, די דאַטאַבייס וועט צוריקקומען דאַטן פֿאַר אַלע יוזערז אַנשטאָט פון בלויז איין באַניצער.

די וואַלנעראַביליטי צו דעם טיפּ פון סייבערסעקוריטי באַפאַלן דעפּענדס אויף צי SQL קען נישט קאָנטראָלירן ווער קען האָבן פּערמישאַנז אָדער נישט. דעריבער, SQL ינדזשעקשאַנז אַרבעט מערסטנס אויב אַ וועבזייטל ניצט דינאַמיש SQL. אויך, SQL ינדזשעקשאַן איז זייער פּראָסט מיט PHP און ASP אַפּלאַקיישאַנז רעכט צו דער פּרעוואַלאַנס פון עלטערע סיסטעמען. J2EE און ASP.NET אַפּלאַקיישאַנז זענען ווייניקער מסתּמא צו באַקומען עקספּלויטאַבאַל סקל ינדזשעקשאַן רעכט צו דער נאַטור פון די פּראָגראַממינג ינטערפייסיז בנימצא.

צו באַשיצן זיך פון אַ סקל ינדזשעקשאַן באַפאַלן, צולייגן די מינימום 0 פּריווילעגיע מאָדעל פון פּערמישאַנז אין דיין דאַטאַבייסיז. האַלטן זיך צו סטאָרד פּראָוסידזשערז (מאַכן זיכער אַז די פּראָוסידזשערז טאָן ניט אַרייַננעמען קיין דינאַמיש סקל) און פריער צוגעגרייט סטייטמאַנץ (פּאַראַמעטערייזד קוויריז). דער קאָד וואָס לויפט קעגן די דאַטאַבייס מוזן זיין שטאַרק גענוג צו פאַרמייַדן ינדזשעקשאַן אנפאלן. אויך וואַלאַדייט די אַרייַנשרייַב דאַטן קעגן אַ ווייטליסט אויף אַפּלאַקיישאַן מדרגה.

אויב איר האָט געליטן אַן אַטאַק און איר דאַרפֿן צו ומקערן נאָרמאַל אָפּעראַציע, אָדער אויב איר נאָר ווילן צו זען קלאר און בעסער פֿאַרשטיין, אָדער איר ווילן צו פאַרמייַדן: שרייַבן צו אונדז אין rda@hrcsrl.it. 

איר קען זיין אינטערעסירט אין אונדזער מענטש אין די מיטל פּאָסטן

אויב איר האָט געליטן אַן אַטאַק און איר דאַרפֿן צו ומקערן נאָרמאַל אָפּעראַציע, אָדער אויב איר נאָר ווילן צו זען קלאר און בעסער פֿאַרשטיין, אָדער איר ווילן צו פאַרמייַדן: שרייַבן צו אונדז אין rda@hrcsrl.it. 

איר קען זיין אינטערעסירט אין אונדזער מאַלוואַרע פּאָסט

באַפאַלן פאַרהיטונג סקל ינדזשעקשאַן

צו פאַרמיידן די ינדזשעקשאַן פון אַרביטראַריש פֿראגן אויף די וועב אַפּלאַקיישאַנז וואָס ינטעראַקט מיט אַ דב, עס איז אַוואַדע פונדאַמענטאַל, אין די ימפּלאַמענטיישאַן פאַסע, צו פּראָגראַם וואָס גיט קאָנטראָל פון אַלע פּאָטענציעל אַקסעס פּאָרץ צו די דאַטן פאַרוואַלטונג אַרקייוו, אַזאַ ווי פארמען, זוכן בלעטער און קיין אנדערע פאָרעם וואָס כולל אַ SQL אָנפֿרעג.

די וואַלאַדיישאַן פון די ינפּוץ, די פּאַראַמעטערייזד קוויריז דורך טעמפּלאַטעס און אַ טויגן פאַרוואַלטונג פון טעות ריפּאָרטינג קענען פאָרשטעלן גוט פּראָגראַממינג פּראַקטיסיז נוציק פֿאַר דעם צוועק.

דאָ זענען עטלעכע עצות:

• באַצאָלן ופמערקזאַמקייט צו די נוצן פון פּאַטענטשאַלי ריזיקאַליש סקל קאָד עלעמענטן (איין קוואָטעס און בראַקאַץ) וואָס קען זיין ינאַגרייטיד מיט צונעמען קאָנטראָל אותיות און עקספּלויטאַד פֿאַר אַנאָטערייזד ניצט;
• ניצן די MySQLi געשפּרייט;
• דיסייבאַל די וויזאַביליטי פון טעות בלעטער אויף זייטלעך. אָפט די אינפֿאָרמאַציע איז ווערטפול פֿאַר די אַטאַקער, וואָס קענען שפּור די אידענטיטעט און סטרוקטור פון די דב סערווערס ינטעראַקטינג מיט די ציל אַפּלאַקיישאַן.

די פאַרלענגערונג פון MySql

פּינטלעך קאָדירונג קענען באטייטיק רעדוצירן די וואַלנעראַביליטי פון אַ וועב אַפּלאַקיישאַן צו אַרביטראַריש סקל ינדזשעקשאַן. א גוטע לייזונג איז צו נוצן די MySQLi פאַרלענגערונג (MySQL ימפּרוווד) צווישן די לייברעריז בנימצא דורך PHP פֿאַר ינטעראַקשאַן מיט MySQL.

Mysqli, ווי דער נאָמען סאַגדזשעס, מאכט ימפּרווומאַנץ צו Mysql ספּעציעל דורך פּראַוויידינג צוויי פּראָגראַממינג אַפּראָוטשיז:

• פּראַסידזשעראַל (נוצן פון טראדיציאנעלן פאַנגקשאַנז);
• אָבדזשעקט אָריענטיד (נוצן פון קלאסן און מעטהאָדס).

עס איז אויך וויכטיק צו שטענדיק האַלטן דעם בלעטערער וואָס מיר נוצן צו ינדנברעך אויף די אינטערנעט און עפשער ינסטאַלירן אַן אַנאַליסיס געצייַג וואָס איז ביכולת צו באַשטעטיקן דעם בייַזייַן פון וואַלנעראַביליטיז אין די קאָד פון אַ וועבזייטל.

זיכערהייט אַססעססמענט

דאָס איז די פונדאַמענטאַל פּראָצעס פֿאַר מעסטן דיין פירמע 'ס קראַנט זיכערהייט מדרגה.
צו טאָן דאָס, עס איז נייטיק צו אַרייַנציען אַן אַדאַקוואַטלי צוגעגרייט סייבער מאַנשאַפֿט, וואָס איז ביכולת צו דורכפירן אַן אַנאַליסיס פון די שטאַט אין וואָס די פירמע געפינט זיך מיט רעספּעקט צו IT זיכערהייט.
די אַנאַליסיס קענען זיין דורכגעקאָכט סינטשראָנאָוסלי דורך אַן אינטערוויו דורכגעקאָכט דורך די סייבער מאַנשאַפֿט אָדער
אויך ייסינגקראַנאַס, דורך פּלאָמבירן אַ אַנקעטע אָנליין.

מיר קענען העלפֿן איר, קאָנטאַקט די HRC srl ספּעשאַלאַסץ דורך שרייבן צו rda@hrcsrl.it.

זיכערהייט וויסיקייַט: וויסן דעם פייַנט

מער ווי 90% פון העקער אנפאלן אָנהייבן מיט אָנגעשטעלטער קאַמף.
וויסיקייַט איז דער ערשטער וואָפן צו קאַמבאַט סייבער ריזיקירן.

דאָס איז ווי מיר שאַפֿן "וויסיקייַט", מיר קענען העלפֿן איר, קאָנטאַקט די HRC srl ספּעשאַלאַסץ דורך שרייבן צו rda@hrcsrl.it.

מאַנאַגעד דיטעקשאַן & רעספּאָנס (MDR): פּראָואַקטיוו ענדפּוינט שוץ

פֿירמע דאַטן זענען פון ריזיק ווערט פֿאַר סייבער קרימאַנאַלז, וואָס איז וואָס ענדפּאָינץ און סערווערס זענען טאַרגעטעד. עס איז שווער פֿאַר טראדיציאנעלן זיכערהייט סאַלושאַנז צו אַנטקעגנשטעלנ ימערדזשינג טרעץ. סייבער קרימינאַלס בייפּאַס אַנטיווירוס דיפענסיז, און נוצן די ינאַביליטי פון פֿירמע IT טימז צו מאָניטאָר און פירן זיכערהייט געשעענישן אַרום די זייגער.

מיט אונדזער MDR מיר קענען העלפֿן איר, קאָנטאַקט די HRC srl ספּעשאַלאַסץ דורך שרייבן צו rda@hrcsrl.it.

MDR איז אַן ינטעליגענט סיסטעם וואָס מאָניטאָרס נעץ פאַרקער און פּערפאָרמז נאַטוראַל אַנאַליסיס
אָפּערייטינג סיסטעם, ידענטיפיצירן סאַספּישאַס און אַנוואָנטיד טעטיקייט.
די אינפֿאָרמאַציע איז טראַנסמיטטעד צו אַ SOC (Security Operation Center), אַ לאַבאָראַטאָריע מאַנד דורך
סייבערסעקוריטי אַנאַליס, אין פאַרמעגן פון די הויפּט סייבערסעקוריטי סערטאַפאַקיישאַנז.
אין די געשעעניש פון אַן אַנאַמאַלי, די SOC, מיט אַ 24/7 געראטן דינסט, קענען ינערווין אין פאַרשידענע לעוועלס פון שטרענגקייַט, פֿון שיקן אַ ווארענונג E- בריוו צו יזאָלירן דעם קליענט פון די נעץ.
דאָס וועט העלפֿן פאַרשפּאַרן פּאָטענציעל טרעץ אין די קנאָספּ און ויסמיידן ירעפּעראַבאַל שעדיקן.

זיכערהייט וועב מאָניטאָרינג: אַנאַליסיס פון די דאַרק וועב

דער פינצטער וועב רעפערס צו די אינהאַלט פון די וועלט ווידע וועב אין פינצטער נעץ וואָס קענען זיין ריטשט דורך די אינטערנעט דורך ספּעציפיש ווייכווארג, קאַנפיגיעריישאַנז און אַקסעס.
מיט אונדזער זיכערהייט וועב מאָניטאָרינג מיר זענען ביכולת צו פאַרמייַדן און אַנטהאַלטן סייבער אנפאלן, סטאַרטינג פון די אַנאַליסיס פון די פירמע פעלד (למשל: ilwebcreativo.it ) און יחיד E- פּאָסט אַדרעסעס.

קאָנטאַקט אונדז דורך שרייבן צו rda@hrcsrl.it, מיר קענען צוגרייטן אַ רעמאַדייישאַן פּלאַן צו יזאָלירן די סאַקאָנע, פאַרמייַדן זייַן פאַרשפּרייטן, און defiמיר נעמען די נויטיק רעמאַדייישאַן אַקשאַנז. די דינסט איז צוגעשטעלט 24/XNUMX פֿון איטאליע

CYBERDRIVE: זיכער אַפּלאַקיישאַן פֿאַר ייַנטיילונג און עדיטינג טעקעס

CyberDrive איז אַ וואָלקן טעקע פאַרוואַלטער מיט הויך זיכערהייט סטאַנדאַרדס דאַנק צו די פרייַ ענקריפּשאַן פון אַלע טעקעס. פאַרזיכערן די זיכערהייט פון פֿירמע דאַטן בשעת ארבעטן אין די וואָלקן און ייַנטיילונג און עדיטינג דאָקומענטן מיט אנדערע יוזערז. אויב דער קשר איז פאַרפאַלן, קיין דאַטן זענען סטאָרד אויף די באַניצער 'ס פּיסי. CyberDrive פּריווענץ טעקעס פון פאַרפאַלן רעכט צו אַקסאַדענטאַל שעדיקן אָדער עקספילטרייטיד פֿאַר גנייווע, זיין פיזיש אָדער דיגיטאַל.

"די קובע": די רעוואלוציאנערע לייזונג

דער קלענסטער און מערסט שטאַרק אין-אַ-קעסטל דאַטאַסענטער אָפפערס קאַמפּיוטינג מאַכט און שוץ פון גשמיות און לאַדזשיקאַל שעדיקן. דיזיינד פֿאַר דאַטן פאַרוואַלטונג אין ברעג און ראָבאָ ינווייראַנמאַנץ, לאַכאָדימ ינווייראַנמאַנץ, פאַכמאַן אָפאַסיז, ​​ווייַט אָפאַסאַז און קליין געשעפטן ווו פּלאַץ, קאָס און ענערגיע קאַנסאַמשאַן זענען יקערדיק. עס טוט נישט דאַרפן דאַטן סענטערס און געשטעל קאַבאַנאַץ. עס קענען זיין פּאַזישאַנד אין קיין טיפּ פון סוויווע דאַנק צו די פּראַל עסטעטיק אין האַרמאָניע מיט די אַרבעט ספּייסאַז. "די קובע" שטעלט פאַרנעמונג ווייכווארג טעכנאָלאָגיע אין די דינסט פון קליין און מיטל-סייזד געשעפטן.

קאָנטאַקט אונדז דורך שרייבן צו rda@hrcsrl.it.

איר קען זיין אינטערעסירט אין אונדזער מענטש אין די מיטל פּאָסטן

Ercole Palmeri: כידעש אַדיקטיד

[ultimate_post_list id = "12982"]