SafetyOverhaul Engineering
Better Safe Than Sorry
dev with by TMP
Contact

"all goods will be attacked, all values must be defended"

                                                                           Jim Rohn (Author)

Are you satisfied with your awareness?

Why industrial overhaul?

Did you know...
       World's worst industrial disaster

The Bhopal disaster or Bhopal gas tragedy was a chemical accident due to malfunction of a valve, on the night of 2–3 December 1984 at the Union Carbide India Limited (UCIL) pesticide plant in Bhopal, Madhya Pradesh, India. In what is considered the world's worst industrial disaster, over 500,000 people in the small towns around the plant were exposed to the highly toxic gas methyl isocyanate (MIC). Estimates vary on the death toll, but in 2008, the Government of Madhya Pradesh paid compensation to the family members of victims killed in the gas release, and to injured victims. This incident was not a result of malicious activity and it was due to a broken valve but it resulted in costing lives and resources. Regular or even annular overhauling and condition monitoring, reduces the possibily of damages due to malfunction of different modules significantly
Source: Bhopal disaster

Why cybersecurity overhaul?

Did you know...
        The Biggest Cybersecurity Incidents

Table below lists top five costliest cybersecurity incidents. These incidents were performed by malicious actors and resulted in lots of fincancial and reputation losses. Regular or annual security overhaul and condition monitoring of IT department, tremendously reduces the success rate of malicious actors performing malicious acts.

Company Financial Loss How They Hacked Year
Epsilon Over $4 Billion Unauthorized access to email system compromising data 2011
Equifax Over $1.4 Billion Exploitation of website vulnerability 2017
Yahoo Over $470 Million Data breaches exposing billions of user accounts 2013-2014
Target Over $300 Million Compromised payment card data via malware installation 2013
Maersk Over $300 Million NotPetya ransomware attack disrupting operations 2017

Epsilon
In 2011, Epsilon, a marketing services company that handled customer email communications for numerous major brands, experienced a significant data breach. Hackers gained unauthorized access to Epsilon’s email system, compromising the personal information of millions of consumers, including their email addresses and names. Trevor says, ‘The breach resulted in over four billion dollars in financial losses for Epsilon, coming from legal settlements, reputational damage, and loss of business from affected clients.’

Equifax
In 2017, Equifax, one of the largest credit reporting agencies in the world, fell victim to a massive data breach. Trevor says, ‘Hackers exploited a vulnerability in the company’s website, gaining access to the sensitive personal information of over 147 million consumers, including Social Security numbers, birth dates, and addresses. Equifax incurred an estimated financial loss of over $1.4 billion due to legal settlements, regulatory fines, and cybersecurity expenses.’

Yahoo
In 2013 and 2014, Yahoo experienced two separate data breaches that compromised the personal information of billions of users worldwide. The breaches, which were not disclosed until years later, exposed user accounts to unauthorized access, resulting in significant financial repercussions for Yahoo. The company incurred losses of approximately $470 million, including a reduction in their acquisition price by Verizon Communications and legal settlements with affected users.

Target
In 2013, Target fell victim to a sophisticated cyber attack that compromised the payment card data of approximately 40 million customers. Trevor explains, ‘Hackers infiltrated Target’s network through a third-party vendor, installing malware on point-of-sale systems to harvest credit card information.’ Target reported total losses of over $300 million, including settlement payments to affected customers, legal fees, and subsequent cybersecurity enhancements.

Maersk
In 2017, Maersk, the world’s largest container shipping company, became a victim of the NotPetya ransomware attack. The malware spread rapidly across Maersk’s global network, disrupting operations and forcing the company to shut down critical systems. Maersk reported financial losses exceeding $300 million, attributed to system restoration, business interruption, and lost revenue.

Source: The Five Costliest Cyber Attacks Of All Time

Importance of Internet facing Cybersecurity

The second weakest links of any IT department, are internet facing servers. Internet is a wild world, a platform where all kinds of entities from bots to humans are active. To our knowledge humanity never had a tool like internet. Internet opens a door for you so that any one from any corner of this planet who has access to inernet, can come up to your door within a matter of seconds. The opportunity is unblievable. On the other hand the other face of internet is corrupt. While its possible for good people to use your services remotely, malicious actors show up at the gates, for the pourpose of abuse, misuse or even damage. Hence, its very important to have bullet proof and secure internet facing servers and applications.

Services SafetyOverhaul Offers

Cybersecurity can be overwhelming, from SCADA and ICS systems to Mobile applications, Web Applications and IT networks. In SafetyOverhaul, your internet facing doors and their infrastructures will be tested and vulnerabilities which are the corner stones of attacks, will be identified. Web applications are built using a long list of technologies, here is a list of modules and tests, SafetyOverhaul will perform on your web application. If your web application has a module which is not listed below, that module will be tested according to its standard.

Services:
Information Gathering Analyze Checklist:
1- Search engine recon
2- Map and review web application front-end
3- Review meta files
4- Enumerate applications and web servers on target machines
5- Component discovery and mapping application architecture
Configuration Analyze Checklist:
1- List and Review Components
2- Review Default Files
3- Review Logging Mechanisms
4- Generate System Configuration Benchmark
5- Review System Admin interfaces
6- Review Sensitive and Downloadable Files
7- Review Old, Backup and Unreferenced Files
8- Review Rogue File Permissions
9- Review HTTP Methods
10- Review Policy Files and Headers
11- Review Cloud Storages
12- Review Browser Cache Weakness
Encryption and Error Handling Analyze Checklist:
1- Review HSTS (HTTP Strict Transport Security header)
2- Review SSL/TLS
3- Review Forced Browse to http://
4- Review Present Encryptions
5- Review Error Handling
6- Review Path Confusion
7- Review Padding Oracle
Identity Management and Authentication Analyze Checklist:
1- Role Identification Review
2- Role Creation Review
3- Role Access Review
4- Role Recovery Review
5- Role De-provisioning (Deletion) Review
6- Role Permissions and Functionalities Review
7- Default Credentials Review
8- Review Username Policy
9- Review Password Policy
10- Review Account Enumeration
11- Review Staff Impersonation
12- Review Identity and Authentication Related Error Message
13- Review Bypassing Authentication Schema
14- Review Lockout and Unlock Mechanisms for Weak Practices
15- Review CAPTCHA
16- Review MFA, 2SV, 2FA
17- Review Password Change and Reset Mechanism
18- Review Security Questions and Answers
19- Review Remember-Me Function and Password Managers
20- Review Weaker Authentication or Headers in Alternative Channels
Authorization Analyze Checklist:
1- Review Bypassing Authorization Schema
2- Review Insecure Direct Object Reference (IDOR)
3- Review Directoy traversal, Local and Remote File Include (LFI- RFI)
4- Review OAuth
Session Management and Business Logic Analyze Checklist:
1- Review Session Management Schema
2- Review Cookie Attributes
3- Review Session Fixation
4- Review Exposed Session Variables
5- Review Cross Site Request Forgery (CSRF)
6- Review Logout Functionality
7- Review Session Timeout
8- Review Session Puzzling
9- Review Session Hijacking
10- Review JSON Web Tokens
11- Review Concurrent Sessions
12- Review Business Logic Data Validation
13- Review Ability to Forge Requests
14- Review Integrity Checks
15- Review Process Timing
16- Review Number of Times a Function Can Be Used
17- Review Circumvention Of Work Flows
18- Review Defences Against Application Misuse
19- Review Uploading Unexpected Files
20- Review Uploading Malicious Files
21- Review Payment Functionality
Client-Side Analyze Checklist:
1- Testing for DOM-Based Cross Site Scripting (HTML Injection for XSS, DOM Clobbering)
2- Testing for DOM-Based Open redirection (Client-side URL Redirect)
3- Testing for DOM-Based Cookie manipulation
4- Testing for DOM-Based JavaScript Injection
5- Testing for DOM-Based Document-domain manipulation
6- Testing for DOM-Based WebSocket-URL poisoning
7- Testing for DOM-Based Link manipulation
8- Testing for DOM-Based Web message manipulation (Web Messaging)
9- Testing for DOM-Based Ajax request-header manipulation
10- Testing for DOM-Based Local file-path manipulation
11- Testing for DOM-Based Client-side SQL injection
12- Testing for DOM-Based HTML5-storage manipulation (Browser Storage)
13- Testing for DOM-Based Client-side XPath injection
14- Testing for DOM-Based Client-side JSON injection
15- Testing for DOM-Based DOM-data manipulation
16- Testing for DOM-Based Denial of service
17- Testing for CSS Injection
18- Testing for Client-side Resource Manipulation
19- Testing Cross Origin Resource Sharing
20- Testing for Cross Site Flashing
21- Testing for Clickjacking
22- Testing for Cross Site Script Inclusion
23- Testing for Reverse Tabnabbing
24: Testing for Prototype Pollution
Input Validation Testing Checklist:
1- Testing for Reflected Cross Site Scripting
2- Testing for Stored Cross Site Scripting
3- Testing for HTTP Verb Tampering
4- Testing for HTTP Parameter Pollution
5- Testing for SQL Injection
      5.1 Testing for Oracle
      5.2 Testing for MySQL
      5.3 Testing for SQL Server
      5.4 Testing PostgreSQL
      5.5 Testing for MS Access
      5.6 Testing for NoSQL Injection
      5.7 Testing for ORM Injection
      5.8 Testing for Client-side
6- Testing for LDAP Injection
7- Testing for XML Injection
8- Testing for SSI Injection
9- Testing for XPath Injection
10- Testing for IMAP SMTP Injection
11- Testing for Code Injection
12- Testing for Command Injection
13- Testing for Format String Injection
14- Testing for Incubated Vulnerability
15- Testing for HTTP Splitting Smuggling
16- Testing for HTTP Incoming Requests
17- Testing for Host Header Injection
18- Testing for Server-side Template Injection
19- Testing for Server-Side Request Forgery
20- Testing for Mass Assignment

* For more information on web application cyber security visit OWASP Web Security Testing Guide
** In systems which are not web application such as SCADA, ICS, mobile apps, extinct or old oracles, network projects, etc. overhauling might need extra steps and if it can be done remotely, the project might be taken into consideration
*** If you own IT technology, get your systems insured for damages of malicious acts, malfunctions and maintenance, then if you liked you can contact SafetyOverhaul for free consultations

"todos los bienes serán atacados, todos los valores deben ser defendidos"

                                                                           Jim Rohn (Autor)

¿Estás satisfecho con tu conciencia?

¿Por qué reforma industrial?

Sabías...
        El peor desastre industrial del mundo

El desastre de Bhopal o tragedia del gas de Bhopal fue un accidente químico debido al mal funcionamiento de una válvula, ocurrido la noche del 2 al 3 de diciembre de 1984 en la planta de pesticidas Union Carbide India Limited (UCIL) en Bhopal, Madhya Pradesh, India. En lo que se considera el peor desastre industrial del mundo, más de 500.000 personas en las pequeñas ciudades alrededor de la planta quedaron expuestas al gas altamente tóxico isocianato de metilo (MIC). Las estimaciones varían en cuanto al número de muertos, pero en 2008, el Gobierno de Madhya Pradesh pagó indemnizaciones a los familiares de las víctimas muertas en la fuga de gas y a las víctimas heridas. Este incidente no fue el resultado de una actividad maliciosa y se debió a una válvula rota, pero costó vidas y recursos. La revisión y el monitoreo del estado regulares o incluso anulares reducen significativamente la posibilidad de daños debidos al mal funcionamiento de diferentes módulos.
Fuente: Bhopal disaster

¿Por qué una revisión de la ciberseguridad?

Sabías...
        Los mayores incidentes de ciberseguridad

La siguiente tabla enumera los cinco incidentes de ciberseguridad más costosos. Estos incidentes fueron perpetrados por actores maliciosos y resultaron en muchas pérdidas financieras y de reputación. La revisión periódica o anual de la seguridad y el monitoreo del estado del departamento de TI reducen enormemente la tasa de éxito de los actores maliciosos que realizan actos maliciosos.

Compañía Perdidas financieras Cómo piratearon Año
Epsilon Más de $4 mil millones Acceso no autorizado al sistema de correo electrónico comprometiendo datos 2011
Equifax Más de 1.400 millones de dólares Explotación de la vulnerabilidad del sitio web 2017
Yahoo Más de $470 millones Las filtraciones de datos exponen miles de millones de cuentas de usuarios 2013-2014
Target Más de $300 millones Datos de tarjetas de pago comprometidos mediante instalación de malware 2013
Maersk Más de $300 millones El ataque de ransomware NotPetya interrumpe las operaciones 2017

Epsilon
En 2011, Epsilon, una empresa de servicios de marketing que manejaba las comunicaciones por correo electrónico de los clientes de numerosas marcas importantes, experimentó una importante filtración de datos. Los piratas informáticos obtuvieron acceso no autorizado al sistema de correo electrónico de Epsilon, comprometiendo la información personal de millones de consumidores, incluidas sus direcciones de correo electrónico y nombres. Trevor dice: "La violación resultó en más de cuatro mil millones de dólares en pérdidas financieras para Epsilon, provenientes de acuerdos legales, daños a la reputación y pérdida de negocios de los clientes afectados".

Equifax
En 2017, Equifax, una de las agencias de informes crediticios más grandes del mundo, fue víctima de una filtración masiva de datos. Trevor dice: “Los piratas informáticos explotaron una vulnerabilidad en el sitio web de la empresa y obtuvieron acceso a información personal confidencial de más de 147 millones de consumidores, incluidos números de Seguro Social, fechas de nacimiento y direcciones. Equifax incurrió en una pérdida financiera estimada de más de 1.400 millones de dólares debido a acuerdos legales, multas regulatorias y gastos de ciberseguridad”.

Yahoo
En 2013 y 2014, Yahoo experimentó dos filtraciones de datos distintas que comprometieron la información personal de miles de millones de usuarios en todo el mundo. Las filtraciones, que no se revelaron hasta años después, expusieron las cuentas de los usuarios a accesos no autorizados, lo que tuvo importantes repercusiones financieras para Yahoo. La empresa incurrió en pérdidas de aproximadamente 470 millones de dólares, incluida una reducción en el precio de adquisición por parte de Verizon Communications y acuerdos legales con los usuarios afectados.

Target
En 2013, Target fue víctima de un sofisticado ciberataque que comprometió los datos de las tarjetas de pago de aproximadamente 40 millones de clientes. Trevor explica: "Los piratas informáticos se infiltraron en la red de Target a través de un proveedor externo, instalando malware en los sistemas de los puntos de venta para recopilar información de tarjetas de crédito". Target informó pérdidas totales de más de 300 millones de dólares, incluidos pagos de liquidación a los clientes afectados, honorarios legales, y posteriores mejoras en ciberseguridad.

Maersk
En 2017, Maersk, la empresa de transporte de contenedores más grande del mundo, fue víctima del ataque de ransomware NotPetya. El malware se propagó rápidamente por la red global de Maersk, interrumpiendo las operaciones y obligando a la empresa a cerrar sistemas críticos. Maersk informó pérdidas financieras superiores a los 300 millones de dólares, atribuidas a la restauración del sistema, la interrupción del negocio y la pérdida de ingresos.

Fuente: Los cinco ciberataques más costosos de todos los tiempos

Importancia de Internet frente a la Ciberseguridad

El segundo eslabón más débil de cualquier departamento de TI son los servidores conectados a Internet. Internet es un mundo salvaje, una plataforma donde están activos todo tipo de entidades, desde bots hasta humanos. Hasta donde sabemos, la humanidad nunca tuvo una herramienta como Internet. Internet te abre una puerta para que cualquier persona desde cualquier rincón de este planeta que tenga acceso a Internet, pueda acercarse a tu puerta en cuestión de segundos. La oportunidad es increíble. Por otro lado, la otra cara de Internet es corrupta. Si bien es posible que buenas personas utilicen sus servicios de forma remota, actores maliciosos aparecen en las puertas, con el fin de abusar, hacer mal uso o incluso dañar. Por lo tanto, es muy importante tener servidores y aplicaciones de Internet seguros y a prueba de balas.

Servicios SeguridadOfertas de revisión

La ciberseguridad puede ser abrumadora, desde sistemas SCADA e ICS hasta aplicaciones móviles, aplicaciones web y redes de TI. En SafetyOverhaul, se probarán sus puertas orientadas a Internet y sus infraestructuras y se identificarán las vulnerabilidades que son la piedra angular de los ataques. Las aplicaciones web se crean utilizando una larga lista de tecnologías. Aquí hay una lista de módulos y pruebas que SafetyOverhaul realizará en su aplicación web. Si su aplicación web tiene un módulo que no figura en la lista a continuación, ese módulo se probará de acuerdo con su estándar.

Servicios:
Information Gathering Analyze Checklist:
1- Search engine recon
2- Map and review web application front-end
3- Review meta files
4- Enumerate applications and web servers on target machines
5- Component discovery and mapping application architecture
Configuration Analyze Checklist:
1- List and Review Components
2- Review Default Files
3- Review Logging Mechanisms
4- Generate System Configuration Benchmark
5- Review System Admin interfaces
6- Review Sensitive and Downloadable Files
7- Review Old, Backup and Unreferenced Files
8- Review Rogue File Permissions
9- Review HTTP Methods
10- Review Policy Files and Headers
11- Review Cloud Storages
12- Review Browser Cache Weakness
Encryption and Error Handling Analyze Checklist:
1- Review HSTS (HTTP Strict Transport Security header)
2- Review SSL/TLS
3- Review Forced Browse to http://
4- Review Present Encryptions
5- Review Error Handling
6- Review Path Confusion
7- Review Padding Oracle
Identity Management and Authentication Analyze Checklist:
1- Role Identification Review
2- Role Creation Review
3- Role Access Review
4- Role Recovery Review
5- Role De-provisioning (Deletion) Review
6- Role Permissions and Functionalities Review
7- Default Credentials Review
8- Review Username Policy
9- Review Password Policy
10- Review Account Enumeration
11- Review Staff Impersonation
12- Review Identity and Authentication Related Error Message
13- Review Bypassing Authentication Schema
14- Review Lockout and Unlock Mechanisms for Weak Practices
15- Review CAPTCHA
16- Review MFA, 2SV, 2FA
17- Review Password Change and Reset Mechanism
18- Review Security Questions and Answers
19- Review Remember-Me Function and Password Managers
20- Review Weaker Authentication or Headers in Alternative Channels
Authorization Analyze Checklist:
1- Review Bypassing Authorization Schema
2- Review Insecure Direct Object Reference (IDOR)
3- Review Directoy traversal, Local and Remote File Include (LFI- RFI)
4- Review OAuth
Session Management and Business Logic Analyze Checklist:
1- Review Session Management Schema
2- Review Cookie Attributes
3- Review Session Fixation
4- Review Exposed Session Variables
5- Review Cross Site Request Forgery (CSRF)
6- Review Logout Functionality
7- Review Session Timeout
8- Review Session Puzzling
9- Review Session Hijacking
10- Review JSON Web Tokens
11- Review Concurrent Sessions
12- Review Business Logic Data Validation
13- Review Ability to Forge Requests
14- Review Integrity Checks
15- Review Process Timing
16- Review Number of Times a Function Can Be Used
17- Review Circumvention Of Work Flows
18- Review Defences Against Application Misuse
19- Review Uploading Unexpected Files
20- Review Uploading Malicious Files
21- Review Payment Functionality
Client-Side Analyze Checklist:
1- Testing for DOM-Based Cross Site Scripting (HTML Injection for XSS, DOM Clobbering)
2- Testing for DOM-Based Open redirection (Client-side URL Redirect)
3- Testing for DOM-Based Cookie manipulation
4- Testing for DOM-Based JavaScript Injection
5- Testing for DOM-Based Document-domain manipulation
6- Testing for DOM-Based WebSocket-URL poisoning
7- Testing for DOM-Based Link manipulation
8- Testing for DOM-Based Web message manipulation (Web Messaging)
9- Testing for DOM-Based Ajax request-header manipulation
10- Testing for DOM-Based Local file-path manipulation
11- Testing for DOM-Based Client-side SQL injection
12- Testing for DOM-Based HTML5-storage manipulation (Browser Storage)
13- Testing for DOM-Based Client-side XPath injection
14- Testing for DOM-Based Client-side JSON injection
15- Testing for DOM-Based DOM-data manipulation
16- Testing for DOM-Based Denial of service
17- Testing for CSS Injection
18- Testing for Client-side Resource Manipulation
19- Testing Cross Origin Resource Sharing
20- Testing for Cross Site Flashing
21- Testing for Clickjacking
22- Testing for Cross Site Script Inclusion
23- Testing for Reverse Tabnabbing
24: Testing for Prototype Pollution
Input Validation Testing Checklist:
1- Testing for Reflected Cross Site Scripting
2- Testing for Stored Cross Site Scripting
3- Testing for HTTP Verb Tampering
4- Testing for HTTP Parameter Pollution
5- Testing for SQL Injection
      5.1 Testing for Oracle
      5.2 Testing for MySQL
      5.3 Testing for SQL Server
      5.4 Testing PostgreSQL
      5.5 Testing for MS Access
      5.6 Testing for NoSQL Injection
      5.7 Testing for ORM Injection
      5.8 Testing for Client-side
6- Testing for LDAP Injection
7- Testing for XML Injection
8- Testing for SSI Injection
9- Testing for XPath Injection
10- Testing for IMAP SMTP Injection
11- Testing for Code Injection
12- Testing for Command Injection
13- Testing for Format String Injection
14- Testing for Incubated Vulnerability
15- Testing for HTTP Splitting Smuggling
16- Testing for HTTP Incoming Requests
17- Testing for Host Header Injection
18- Testing for Server-side Template Injection
19- Testing for Server-Side Request Forgery
20- Testing for Mass Assignment

* Para obtener más información sobre ciberseguridad de aplicaciones web, visite Guía de pruebas de seguridad web de OWASP
** En sistemas que no son aplicaciones web como SCADA, ICS, aplicaciones móviles, oráculos antiguos o extintos, proyectos de red, etc., la revisión puede necesitar pasos adicionales y, si se puede realizar de forma remota, el proyecto podría tomarse en consideración.
*** Si posee tecnología informática, asegure sus sistemas contra daños por actos maliciosos, mal funcionamiento y mantenimiento, luego si lo desea puede contactar a SafetyOverhaul para consultas gratis.

"Alle Güter werden angegriffen, alle Werte müssen verteidigt werden"

                                                                           Jim Rohn (Autor)

Sind Sie mit Ihrem Bewusstsein zufrieden?

Warum industrielle Überholung?

Wussten Sie...
       Die schlimmste Industriekatastrophe der Welt

Die Bhopal-Katastrophe oder Bhopal-Gastragödie war ein Chemieunfall aufgrund einer Fehlfunktion eines Ventils in der Nacht vom 2. auf den 3. Dezember 1984 in der Pestizidanlage Union Carbide India Limited (UCIL) in Bhopal, Madhya Pradesh, Indien. Bei der schlimmsten Industriekatastrophe der Welt waren über 500.000 Menschen in den Kleinstädten rund um das Werk dem hochgiftigen Gas Methylisocyanat (MIC) ausgesetzt. Die Schätzungen zur Zahl der Todesopfer schwanken, doch im Jahr 2008 zahlte die Regierung von Madhya Pradesh den Familienangehörigen der Opfer, die bei der Gasfreisetzung getötet wurden, und den verletzten Opfern eine Entschädigung. Dieser Vorfall war nicht auf böswillige Aktivitäten zurückzuführen, sondern war auf ein defektes Ventil zurückzuführen, kostete jedoch Menschenleben und Ressourcen. Regelmäßige oder sogar ringförmige Überholungen und Zustandsüberwachungen reduzieren die Möglichkeit von Schäden aufgrund von Fehlfunktionen verschiedener Module erheblich
Quelle: Bhopal-Katastrophe

Warum eine Überarbeitung der Cybersicherheit??

Wussten Sie...
        Die größten Cybersicherheitsvorfälle

Die folgende Tabelle listet die fünf teuersten Cybersicherheitsvorfälle auf. Diese Vorfälle wurden von böswilligen Akteuren begangen und führten zu zahlreichen finanziellen und Reputationsverlusten. Regelmäßige oder jährliche Sicherheitsüberholungen und Zustandsüberwachungen der IT-Abteilung reduzieren die Erfolgsquote böswilliger Akteure, die böswillige Handlungen durchführen, enorm.

Unternehmen Finanzieller Verlust Wie sie gehackt haben Jahr
Epsilon Über 4 Milliarden US-Dollar Unbefugter Zugriff auf das E-Mail-System gefährdet Daten 2011
Equifax Über 1,4 Milliarden US-Dollar Ausnutzung einer Website-Schwachstelle 2017
Yahoo Über 470 Millionen US-Dollar Datenschutzverletzungen, durch die Milliarden von Benutzerkonten offengelegt werden 2013-2014
Target Über 300 Millionen US-Dollar Kompromittierte Zahlungskartendaten durch Malware-Installation 2013
Maersk Über 300 Millionen US-Dollar NotPetya-Ransomware-Angriff stört den Betrieb 2017

Epsilon
Im Jahr 2011 kam es bei Epsilon, einem Marketingdienstleistungsunternehmen, das die Kunden-E-Mail-Kommunikation für zahlreiche große Marken abwickelte, zu einem schwerwiegenden Datenverstoß. Hacker verschafften sich unbefugten Zugriff auf das E-Mail-System von Epsilon und kompromittierten die persönlichen Daten von Millionen von Verbrauchern, einschließlich ihrer E-Mail-Adressen und Namen. Trevor sagt: „Der Verstoß führte zu finanziellen Verlusten in Höhe von über vier Milliarden US-Dollar für Epsilon, die aus rechtlichen Vergleichen, Reputationsschäden und Geschäftsverlusten bei betroffenen Kunden resultierten.“

Equifax
Im Jahr 2017 wurde Equifax, eine der größten Kreditauskunfteien der Welt, Opfer einer massiven Datenpanne. Trevor sagt: „Hacker haben eine Schwachstelle auf der Website des Unternehmens ausgenutzt und sich Zugriff auf die sensiblen persönlichen Daten von über 147 Millionen Verbrauchern verschafft, darunter Sozialversicherungsnummern, Geburtsdaten und Adressen.“ Equifax erlitt aufgrund gerichtlicher Vergleiche, behördlicher Bußgelder und Ausgaben für Cybersicherheit einen geschätzten finanziellen Verlust von über 1,4 Milliarden US-Dollar.“

Yahoo
In den Jahren 2013 und 2014 kam es bei Yahoo zu zwei unterschiedlichen Datenschutzverstößen, die die persönlichen Daten von Milliarden Nutzern weltweit gefährdeten. Durch die Verstöße, die erst Jahre später bekannt wurden, waren Benutzerkonten unbefugtem Zugriff ausgesetzt, was erhebliche finanzielle Auswirkungen für Yahoo hatte. Das Unternehmen erlitt Verluste in Höhe von rund 470 Millionen US-Dollar, einschließlich einer Reduzierung des Übernahmepreises durch Verizon Communications und rechtlicher Vergleiche mit betroffenen Nutzern.

Target
Im Jahr 2013 wurde Target Opfer eines raffinierten Cyberangriffs, bei dem die Zahlungskartendaten von rund 40 Millionen Kunden kompromittiert wurden. Trevor erklärt: „Hacker sind über einen Drittanbieter in das Netzwerk von Target eingedrungen und haben Malware auf Kassensystemen installiert, um Kreditkarteninformationen abzugreifen.“ und nachfolgende Verbesserungen der Cybersicherheit.

Maersk
Im Jahr 2017 wurde Maersk, das weltweit größte Containerschifffahrtsunternehmen, Opfer des Ransomware-Angriffs NotPetya. Die Malware verbreitete sich schnell im globalen Netzwerk von Maersk, störte den Betrieb und zwang das Unternehmen, kritische Systeme herunterzufahren. Maersk meldete finanzielle Verluste von über 300 Millionen US-Dollar, die auf Systemwiederherstellung, Betriebsunterbrechung und Umsatzeinbußen zurückzuführen waren.

Quelle: Die fünf teuersten Cyber-Angriffe aller Zeiten

Bedeutung des Internets im Hinblick auf Cybersicherheit

Das zweitschwächste Glied jeder IT-Abteilung sind mit dem Internet verbundene Server. Das Internet ist eine wilde Welt, eine Plattform, auf der alle Arten von Wesen aktiv sind, von Bots bis hin zu Menschen. Soweit wir wissen, verfügte die Menschheit nie über ein Werkzeug wie das Internet. Das Internet öffnet Ihnen eine Tür, so dass jeder aus jedem Winkel der Welt, der Zugang zum Internet hat, innerhalb von Sekunden an Ihre Tür gelangen kann. Die Gelegenheit ist unglaublich. Andererseits ist die andere Seite des Internets korrupt. Während es für gute Leute möglich ist, Ihre Dienste aus der Ferne zu nutzen, tauchen böswillige Akteure an den Toren auf, um Missbrauch, Missbrauch oder sogar Schaden anzurichten. Daher ist es sehr wichtig, über kugelsichere und sichere Server und Anwendungen mit Internetzugriff zu verfügen.

Dienstleistungen SafetyOverhaul-Angebote

Cybersicherheit kann überwältigend sein, von SCADA- und ICS-Systemen bis hin zu mobilen Anwendungen, Webanwendungen und IT-Netzwerken. Bei SafetyOverhaul werden Ihre Internettüren und deren Infrastrukturen getestet und Schwachstellen identifiziert, die die Grundlage für Angriffe bilden. Webanwendungen werden mithilfe einer langen Liste von Technologien erstellt. Hier finden Sie eine Liste von Modulen und Tests, die SafetyOverhaul für Ihre Webanwendung durchführt. Wenn Ihre Webanwendung über ein Modul verfügt, das unten nicht aufgeführt ist, wird dieses Modul gemäß seinem Standard getestet.

Dienstleistungen:
Information Gathering Analyze Checklist:
1- Search engine recon
2- Map and review web application front-end
3- Review meta files
4- Enumerate applications and web servers on target machines
5- Component discovery and mapping application architecture
Configuration Analyze Checklist:
1- List and Review Components
2- Review Default Files
3- Review Logging Mechanisms
4- Generate System Configuration Benchmark
5- Review System Admin interfaces
6- Review Sensitive and Downloadable Files
7- Review Old, Backup and Unreferenced Files
8- Review Rogue File Permissions
9- Review HTTP Methods
10- Review Policy Files and Headers
11- Review Cloud Storages
12- Review Browser Cache Weakness
Encryption and Error Handling Analyze Checklist:
1- Review HSTS (HTTP Strict Transport Security header)
2- Review SSL/TLS
3- Review Forced Browse to http://
4- Review Present Encryptions
5- Review Error Handling
6- Review Path Confusion
7- Review Padding Oracle
Identity Management and Authentication Analyze Checklist:
1- Role Identification Review
2- Role Creation Review
3- Role Access Review
4- Role Recovery Review
5- Role De-provisioning (Deletion) Review
6- Role Permissions and Functionalities Review
7- Default Credentials Review
8- Review Username Policy
9- Review Password Policy
10- Review Account Enumeration
11- Review Staff Impersonation
12- Review Identity and Authentication Related Error Message
13- Review Bypassing Authentication Schema
14- Review Lockout and Unlock Mechanisms for Weak Practices
15- Review CAPTCHA
16- Review MFA, 2SV, 2FA
17- Review Password Change and Reset Mechanism
18- Review Security Questions and Answers
19- Review Remember-Me Function and Password Managers
20- Review Weaker Authentication or Headers in Alternative Channels
Authorization Analyze Checklist:
1- Review Bypassing Authorization Schema
2- Review Insecure Direct Object Reference (IDOR)
3- Review Directoy traversal, Local and Remote File Include (LFI- RFI)
4- Review OAuth
Session Management and Business Logic Analyze Checklist:
1- Review Session Management Schema
2- Review Cookie Attributes
3- Review Session Fixation
4- Review Exposed Session Variables
5- Review Cross Site Request Forgery (CSRF)
6- Review Logout Functionality
7- Review Session Timeout
8- Review Session Puzzling
9- Review Session Hijacking
10- Review JSON Web Tokens
11- Review Concurrent Sessions
12- Review Business Logic Data Validation
13- Review Ability to Forge Requests
14- Review Integrity Checks
15- Review Process Timing
16- Review Number of Times a Function Can Be Used
17- Review Circumvention Of Work Flows
18- Review Defences Against Application Misuse
19- Review Uploading Unexpected Files
20- Review Uploading Malicious Files
21- Review Payment Functionality
Client-Side Analyze Checklist:
1- Testing for DOM-Based Cross Site Scripting (HTML Injection for XSS, DOM Clobbering)
2- Testing for DOM-Based Open redirection (Client-side URL Redirect)
3- Testing for DOM-Based Cookie manipulation
4- Testing for DOM-Based JavaScript Injection
5- Testing for DOM-Based Document-domain manipulation
6- Testing for DOM-Based WebSocket-URL poisoning
7- Testing for DOM-Based Link manipulation
8- Testing for DOM-Based Web message manipulation (Web Messaging)
9- Testing for DOM-Based Ajax request-header manipulation
10- Testing for DOM-Based Local file-path manipulation
11- Testing for DOM-Based Client-side SQL injection
12- Testing for DOM-Based HTML5-storage manipulation (Browser Storage)
13- Testing for DOM-Based Client-side XPath injection
14- Testing for DOM-Based Client-side JSON injection
15- Testing for DOM-Based DOM-data manipulation
16- Testing for DOM-Based Denial of service
17- Testing for CSS Injection
18- Testing for Client-side Resource Manipulation
19- Testing Cross Origin Resource Sharing
20- Testing for Cross Site Flashing
21- Testing for Clickjacking
22- Testing for Cross Site Script Inclusion
23- Testing for Reverse Tabnabbing
24: Testing for Prototype Pollution
Input Validation Testing Checklist:
1- Testing for Reflected Cross Site Scripting
2- Testing for Stored Cross Site Scripting
3- Testing for HTTP Verb Tampering
4- Testing for HTTP Parameter Pollution
5- Testing for SQL Injection
      5.1 Testing for Oracle
      5.2 Testing for MySQL
      5.3 Testing for SQL Server
      5.4 Testing PostgreSQL
      5.5 Testing for MS Access
      5.6 Testing for NoSQL Injection
      5.7 Testing for ORM Injection
      5.8 Testing for Client-side
6- Testing for LDAP Injection
7- Testing for XML Injection
8- Testing for SSI Injection
9- Testing for XPath Injection
10- Testing for IMAP SMTP Injection
11- Testing for Code Injection
12- Testing for Command Injection
13- Testing for Format String Injection
14- Testing for Incubated Vulnerability
15- Testing for HTTP Splitting Smuggling
16- Testing for HTTP Incoming Requests
17- Testing for Host Header Injection
18- Testing for Server-side Template Injection
19- Testing for Server-Side Request Forgery
20- Testing for Mass Assignment

* Weitere Informationen zur Cybersicherheit von Webanwendungen finden Sie unter Leitfaden zum Testen der OWASP-Websicherheit
** Bei Systemen, bei denen es sich nicht um Webanwendungen wie SCADA, ICS, mobile Apps, ausgestorbene oder alte Orakel, Netzwerkprojekte usw. handelt, sind für die Überarbeitung möglicherweise zusätzliche Schritte erforderlich, und wenn dies aus der Ferne durchgeführt werden kann, kann das Projekt in Betracht gezogen werden
*** Wenn Sie über IT-Technologie verfügen, versichern Sie Ihre Systeme gegen Schäden durch böswillige Handlungen, Fehlfunktionen und Wartung, Wenn Sie möchten, können Sie sich dann für kostenlose Beratungen an SafetyOverhaul wenden

"Bütün mallara saldırılacak, bütün değerler savunulmalı"

                                                                           Jim Rohn (Yazar)

Farkındalığınızdan memnun musunuz?

Neden endüstriyel revizyon?

Biliyor musun...
       Dünyanın en kötü endüstriyel felaketi

Bhopal felaketi veya Bhopal gaz trajedisi, 2-3 Aralık 1984 gecesi Hindistan'ın Madhya Pradesh kentindeki Bhopal'deki Union Carbide India Limited (UCIL) pestisit fabrikasında bir valf arızası nedeniyle meydana gelen kimyasal bir kazaydı. Dünyanın en kötü endüstriyel felaketi olarak kabul edilen olayda, tesisin çevresindeki küçük kasabalarda 500.000'den fazla insan yüksek derecede zehirli metil izosiyanat (MIC) gazına maruz kaldı. Tahminler ölü sayısına göre değişiklik gösteriyor ancak 2008'de Madhya Pradesh Hükümeti gaz salınımı sırasında ölen kurbanların aile üyelerine ve yaralanan kurbanlara tazminat ödedi. Bu olay kötü niyetli bir faaliyetin sonucu değildi ve kırık bir vanadan kaynaklanıyordu ancak canlara ve kaynaklara mal oldu. Düzenli veya hatta halka şeklinde bakım ve durum izleme, farklı modüllerin arızalanması nedeniyle hasar olasılığını önemli ölçüde azaltır
Kaynak: Bhopal felaketi

Neden siber güvenlik revizyonu?

Biliyor musun...
        En Büyük Siber Güvenlik Olayları

Aşağıdaki tabloda en maliyetli beş siber güvenlik olayı listelenmektedir. Bu olaylar kötü niyetli kişiler tarafından gerçekleştirilmiş ve birçok finansal ve itibar kaybına neden olmuştur. BT departmanının düzenli veya yıllık güvenlik revizyonu ve durum izlemesi, kötü niyetli eylemleri gerçekleştiren kötü niyetli aktörlerin başarı oranını büyük ölçüde azaltır.

Şirket Finansal kayıp Nasıl Hacklendiler Yıl
Epsilon 4 Milyar Doların üzerinde Verileri tehlikeye atan e-posta sistemine yetkisiz erişim 2011
Equifax 1,4 Milyar Doların üzerinde Web sitesi güvenlik açığından yararlanma 2017
Yahoo 470 Milyon Doların üzerinde Milyarlarca kullanıcı hesabını açığa çıkaran veri ihlalleri 2013-2014
Target 300 Milyon Doların üzerinde Kötü amaçlı yazılım kurulumu yoluyla güvenliği ihlal edilen ödeme kartı verileri 2013
Maersk 300 Milyon Doların üzerinde NotPetya fidye yazılımı saldırısı operasyonları aksatıyor 2017

Epsilon
Çok sayıda büyük markanın müşteri e-posta iletişimlerini yöneten bir pazarlama hizmetleri şirketi olan Epsilon, 2011 yılında önemli bir veri ihlali yaşadı. Bilgisayar korsanları, Epsilon'un e-posta sistemine yetkisiz erişim sağlayarak milyonlarca tüketicinin e-posta adresleri ve adları da dahil olmak üzere kişisel bilgilerini ele geçirdi. Trevor şöyle diyor: 'İhlal, Epsilon'un yasal uzlaşmalardan, itibar kaybından ve etkilenen müşterilerin iş kaybından kaynaklanan dört milyar dolardan fazla mali kaybına neden oldu.'

Equifax
Dünyanın en büyük kredi raporlama kuruluşlarından biri olan Equifax, 2017 yılında büyük bir veri ihlalinin kurbanı oldu. Trevor şöyle diyor: 'Bilgisayar korsanları şirketin web sitesindeki bir güvenlik açığından yararlanarak 147 milyondan fazla tüketicinin Sosyal Güvenlik numaraları, doğum tarihleri ve adresleri de dahil olmak üzere hassas kişisel bilgilerine erişim sağladı. Equifax, yasal uzlaşmalar, düzenleyici cezalar ve siber güvenlik harcamaları nedeniyle tahmini 1,4 milyar doların üzerinde mali kayba uğradı.'

Yahoo
Yahoo, 2013 ve 2014 yıllarında dünya çapında milyarlarca kullanıcının kişisel bilgilerini tehlikeye atan iki ayrı veri ihlali yaşadı. Yıllar sonra açıklanmayan ihlaller, kullanıcı hesaplarının yetkisiz erişime maruz kalmasına neden oldu ve bu da Yahoo'ya ciddi mali sonuçlar doğurdu. Şirket, Verizon Communications tarafından satın alma fiyatındaki düşüş ve etkilenen kullanıcılarla yapılan yasal anlaşmalar da dahil olmak üzere yaklaşık 470 milyon dolarlık zarara uğradı.

Target
Target, 2013 yılında yaklaşık 40 milyon müşterinin ödeme kartı verilerini tehlikeye atan karmaşık bir siber saldırının kurbanı oldu. Trevor şöyle açıklıyor: 'Bilgisayar korsanları, üçüncü taraf bir satıcı aracılığıyla Target'ın ağına sızdı ve kredi kartı bilgilerini toplamak için satış noktası sistemlerine kötü amaçlı yazılım yükledi. Target, etkilenen müşterilere yapılan ödemeler, yasal ücretler ve yasal ücretler de dahil olmak üzere toplam 300 milyon doların üzerinde kayıp bildirdi.' ve ardından gelen siber güvenlik geliştirmeleri.

Maersk
2017 yılında dünyanın en büyük konteyner taşımacılığı şirketi Maersk, NotPetya fidye yazılımı saldırısının kurbanı oldu. Kötü amaçlı yazılım, Maersk'in küresel ağına hızla yayılarak operasyonları kesintiye uğrattı ve şirketi kritik sistemleri kapatmaya zorladı. Maersk, sistem restorasyonu, iş kesintisi ve gelir kaybı nedeniyle 300 milyon doları aşan mali kayıplar bildirdi.

Kaynak: Tüm Zamanların En Maliyetli Beş Siber Saldırısı

Siber Güvenlik Karşısında İnternetin Önemi

Herhangi bir BT departmanının ikinci en zayıf halkası internete yönelik sunuculardır. İnternet vahşi bir dünya, botlardan insanlara kadar her türlü varlığın aktif olduğu bir platform. Bildiğimiz kadarıyla insanlık hiçbir zaman internet gibi bir araca sahip olmadı. İnternet size bir kapı açıyor, böylece bu gezegenin herhangi bir köşesinden inernet'e erişimi olan herkes birkaç saniye içinde kapınıza gelebilir. Bu fırsat inanılmaz. Öte yandan internetin diğer yüzü de bozuk. İyi insanların hizmetlerinizi uzaktan kullanması mümkün olsa da, kötü niyetli aktörler kötüye kullanım, kötüye kullanım ve hatta zarar verme amacıyla kapılarda belirir. Bu nedenle kurşun geçirmez ve güvenli internete yönelik sunuculara ve uygulamalara sahip olmak çok önemlidir.

Hizmetler SafetyOverhaul Teklifleri

SCADA ve ICS sistemlerinden Mobil uygulamalara, Web Uygulamalarına ve BT ağlarına kadar siber güvenlik çok zorlayıcı olabilir. SafetyOverhaul'da internete bakan kapılarınız ve altyapıları test edilecek ve saldırıların temel taşı olan zafiyetler tespit edilecek. Web uygulamaları uzun bir teknoloji listesi kullanılarak oluşturulmuştur; burada SafetyOverhaul'un web uygulamanızda gerçekleştireceği modüllerin ve testlerin bir listesi bulunmaktadır. Web uygulamanızın aşağıda listelenmeyen bir modülü varsa o modül standardına göre test edilecektir.

Hizmetler:
Information Gathering Analyze Checklist:
1- Search engine recon
2- Map and review web application front-end
3- Review meta files
4- Enumerate applications and web servers on target machines
5- Component discovery and mapping application architecture
Configuration Analyze Checklist:
1- List and Review Components
2- Review Default Files
3- Review Logging Mechanisms
4- Generate System Configuration Benchmark
5- Review System Admin interfaces
6- Review Sensitive and Downloadable Files
7- Review Old, Backup and Unreferenced Files
8- Review Rogue File Permissions
9- Review HTTP Methods
10- Review Policy Files and Headers
11- Review Cloud Storages
12- Review Browser Cache Weakness
Encryption and Error Handling Analyze Checklist:
1- Review HSTS (HTTP Strict Transport Security header)
2- Review SSL/TLS
3- Review Forced Browse to http://
4- Review Present Encryptions
5- Review Error Handling
6- Review Path Confusion
7- Review Padding Oracle
Identity Management and Authentication Analyze Checklist:
1- Role Identification Review
2- Role Creation Review
3- Role Access Review
4- Role Recovery Review
5- Role De-provisioning (Deletion) Review
6- Role Permissions and Functionalities Review
7- Default Credentials Review
8- Review Username Policy
9- Review Password Policy
10- Review Account Enumeration
11- Review Staff Impersonation
12- Review Identity and Authentication Related Error Message
13- Review Bypassing Authentication Schema
14- Review Lockout and Unlock Mechanisms for Weak Practices
15- Review CAPTCHA
16- Review MFA, 2SV, 2FA
17- Review Password Change and Reset Mechanism
18- Review Security Questions and Answers
19- Review Remember-Me Function and Password Managers
20- Review Weaker Authentication or Headers in Alternative Channels
Authorization Analyze Checklist:
1- Review Bypassing Authorization Schema
2- Review Insecure Direct Object Reference (IDOR)
3- Review Directoy traversal, Local and Remote File Include (LFI- RFI)
4- Review OAuth
Session Management and Business Logic Analyze Checklist:
1- Review Session Management Schema
2- Review Cookie Attributes
3- Review Session Fixation
4- Review Exposed Session Variables
5- Review Cross Site Request Forgery (CSRF)
6- Review Logout Functionality
7- Review Session Timeout
8- Review Session Puzzling
9- Review Session Hijacking
10- Review JSON Web Tokens
11- Review Concurrent Sessions
12- Review Business Logic Data Validation
13- Review Ability to Forge Requests
14- Review Integrity Checks
15- Review Process Timing
16- Review Number of Times a Function Can Be Used
17- Review Circumvention Of Work Flows
18- Review Defences Against Application Misuse
19- Review Uploading Unexpected Files
20- Review Uploading Malicious Files
21- Review Payment Functionality
Client-Side Analyze Checklist:
1- Testing for DOM-Based Cross Site Scripting (HTML Injection for XSS, DOM Clobbering)
2- Testing for DOM-Based Open redirection (Client-side URL Redirect)
3- Testing for DOM-Based Cookie manipulation
4- Testing for DOM-Based JavaScript Injection
5- Testing for DOM-Based Document-domain manipulation
6- Testing for DOM-Based WebSocket-URL poisoning
7- Testing for DOM-Based Link manipulation
8- Testing for DOM-Based Web message manipulation (Web Messaging)
9- Testing for DOM-Based Ajax request-header manipulation
10- Testing for DOM-Based Local file-path manipulation
11- Testing for DOM-Based Client-side SQL injection
12- Testing for DOM-Based HTML5-storage manipulation (Browser Storage)
13- Testing for DOM-Based Client-side XPath injection
14- Testing for DOM-Based Client-side JSON injection
15- Testing for DOM-Based DOM-data manipulation
16- Testing for DOM-Based Denial of service
17- Testing for CSS Injection
18- Testing for Client-side Resource Manipulation
19- Testing Cross Origin Resource Sharing
20- Testing for Cross Site Flashing
21- Testing for Clickjacking
22- Testing for Cross Site Script Inclusion
23- Testing for Reverse Tabnabbing
24: Testing for Prototype Pollution
Input Validation Testing Checklist:
1- Testing for Reflected Cross Site Scripting
2- Testing for Stored Cross Site Scripting
3- Testing for HTTP Verb Tampering
4- Testing for HTTP Parameter Pollution
5- Testing for SQL Injection
      5.1 Testing for Oracle
      5.2 Testing for MySQL
      5.3 Testing for SQL Server
      5.4 Testing PostgreSQL
      5.5 Testing for MS Access
      5.6 Testing for NoSQL Injection
      5.7 Testing for ORM Injection
      5.8 Testing for Client-side
6- Testing for LDAP Injection
7- Testing for XML Injection
8- Testing for SSI Injection
9- Testing for XPath Injection
10- Testing for IMAP SMTP Injection
11- Testing for Code Injection
12- Testing for Command Injection
13- Testing for Format String Injection
14- Testing for Incubated Vulnerability
15- Testing for HTTP Splitting Smuggling
16- Testing for HTTP Incoming Requests
17- Testing for Host Header Injection
18- Testing for Server-side Template Injection
19- Testing for Server-Side Request Forgery
20- Testing for Mass Assignment

* Web uygulaması siber güvenliği hakkında daha fazla bilgi için ziyaret edin OWASP Web Güvenliği Test Kılavuzu
** SCADA, ICS, mobil uygulamalar, tükenmiş veya eskimiş oracle'lar, ağ projeleri vb. gibi web uygulaması olmayan sistemlerde revizyon ekstra adımlar gerektirebilir ve eğer uzaktan yapılabiliyorsa proje değerlendirmeye alınabilir.
*** BT teknolojisine sahipseniz, sistemlerinizi kötü niyetli eylemlerden, arızalardan ve bakımlardan kaynaklanan hasarlara karşı sigortalatın, ardından isterseniz SafetyOverhaul ile iletişime geçebilirsiniz. ücretsiz danışmanlık için

"همه ارزش ها مورد حمله قرار خواهند گرفت، همه ارزش ها باید دفاع شوند"

                                                                           Jim Rohn (نویسنده)

آیا از آگاهی خود راضی هستید؟

چرا اورهال صنعتی؟

آیا میدانستید...
       بدترین فاجعه صنعتی جهان

فاجعه بوپال یا تراژدی گاز بوپال یک حادثه شیمیایی به دلیل عملکرد نادرست دریچه بود، در شب 2 تا 3 دسامبر 1984 در کارخانه آفت کش Union Carbide India Limited (UCIL) در بوپال، مادهیا پرادش، هند. در آنچه که بدترین فاجعه صنعتی جهان در نظر گرفته می شود، بیش از 500000 نفر در شهرهای کوچک اطراف کارخانه در معرض گاز بسیار سمی متیل ایزوسیانات (MIC) قرار گرفتند. برآوردها در مورد تعداد تلفات متفاوت است، اما در سال 2008، دولت مادیا پرادش به اعضای خانواده قربانیان کشته شده در انتشار گاز و به قربانیان مجروح غرامت پرداخت کرد. این حادثه در نتیجه فعالیت های مخرب نبوده و به دلیل شکستگی دریچه بوده است، اما به هزینه جان و منابع منجر شده است. تعمیرات اساسی یا دوره ای و نظارت بر وضعیت، احتمال آسیب های ناشی از خرابی ماژول های مختلف را به میزان قابل توجهی کاهش می دهد.
منبع: فاجعه بوپال

چرا اورهال امنیت سایبری؟

آیا میدانستید...
        بزرگترین حوادث امنیت سایبری

جدول زیر پنج حادثه پرهزینه امنیت سایبری را فهرست می کند. این حوادث توسط بازیگران بدخواه انجام شد و منجر به زیان های مالی و اعتبار زیادی شد. بازنگری منظم یا سالانه امنیت و نظارت بر وضعیت بخش فناوری اطلاعات، میزان موفقیت بازیگران مخرب را که اعمال مخرب انجام می دهند، به شدت کاهش می دهد.

شرکت ضرر مالی چگونگی هک سال
Epsilon بیش از 4 میلیارد دلار دسترسی غیرمجاز به سیستم ایمیل و داده ها 2011
Equifax بیش از 1.4 میلیارد دلار بهره برداری از آسیب پذیری وب سایت 2017
Yahoo بیش از 470 میلیون دلار نقض داده ها و افشای میلیاردها حساب کاربری 2013-2014
Target بیش از 300 میلیون دلار به خطر افتادن اطلاعات کارت پرداخت از طریق نصب بدافزار 2013
Maersk بیش از 300 میلیون دلار حمله باج افزار NotPetya 2017

Epsilon
در سال 2011، اپسیلون، یک شرکت خدمات بازاریابی که ارتباطات ایمیل مشتریان را برای بسیاری از برندهای بزرگ مدیریت می‌کرد، با یک نقض قابل توجه داده مواجه شد. هکرها به سیستم ایمیل اپسیلون دسترسی غیرمجاز پیدا کردند و اطلاعات شخصی میلیون ها مشتری از جمله آدرس ایمیل و نام آنها را به خطر انداختند. تروور می‌گوید: «این نقض منجر به بیش از چهار میلیارد دلار ضرر مالی برای اپسیلون شد که ناشی از تسویه حساب‌های قانونی، آسیب به شهرت و از دست دادن کسب‌وکار مشتریان آسیب‌دیده بود.»

Equifax
در سال 2017، Equifax، یکی از بزرگترین آژانس های گزارش اعتبار در جهان، قربانی یک نقض گسترده داده ها شد. Trevor می‌گوید: «هکرها از یک آسیب‌پذیری در وب‌سایت شرکت سوء استفاده کردند و به اطلاعات شخصی حساس بیش از 147 میلیون مصرف‌کننده، از جمله شماره‌های تأمین اجتماعی، تاریخ تولد و آدرس‌ها دسترسی پیدا کردند. Equifax به دلیل تسویه حساب های قانونی، جریمه های نظارتی و هزینه های امنیت سایبری متحمل زیان مالی بیش از 1.4 میلیارد دلاری شده است.

Yahoo
در سال‌های 2013 و 2014، یاهو دو نقض اطلاعات جداگانه را تجربه کرد که اطلاعات شخصی میلیاردها کاربر در سراسر جهان را به خطر انداخت. این نقض‌ها، که تا سال‌ها بعد فاش نشد، حساب‌های کاربری را در معرض دسترسی غیرمجاز قرار داد و پیامدهای مالی قابل‌توجهی برای یاهو به همراه داشت. این شرکت تقریباً 470 میلیون دلار خسارت متحمل شد، از جمله کاهش قیمت خرید آنها توسط Verizon Communications و تسویه حساب قانونی با کاربران آسیب دیده.

Target
در سال 2013، تارگت قربانی یک حمله سایبری پیچیده شد که اطلاعات کارت پرداخت تقریباً 40 میلیون مشتری را به خطر انداخت. Trevor توضیح می دهد، "هکرها از طریق یک فروشنده شخص ثالث به شبکه Target نفوذ کردند و بدافزار را روی سیستم های نقطه فروش نصب کردند تا اطلاعات کارت اعتباری را جمع آوری کنند." و بهبودهای بعدی امنیت سایبری.

Maersk
در سال 2017، مرسک، بزرگترین شرکت حمل و نقل کانتینری جهان، قربانی حمله باج افزار NotPetya شد. این بدافزار به سرعت در سراسر شبکه جهانی مرسک پخش شد و عملیات را مختل کرد و شرکت را مجبور کرد که سیستم‌های حیاتی را خاموش کند. مرسک زیان مالی بیش از 300 میلیون دلار را گزارش کرد که به بازسازی سیستم، وقفه در کسب و کار و از دست دادن درآمد نسبت داده می شود.

منبع: پنج حمله سایبری پرهزینه تمام دوران

اهمیت امنیت سایبری اینترنت

دومین لینک ضعیف هر بخش فناوری اطلاعات، سرورهای رو به اینترنت هستند. اینترنت دنیایی وحشی است، بستری که در آن انواع موجودات از ربات ها گرفته تا انسان ها فعال هستند. تا آنجا که می دانیم بشریت هرگز ابزاری مانند اینترنت نداشت. اینترنت دری را به روی شما باز می کند تا هرکس از هر گوشه ای از این سیاره که به اینرنت دسترسی دارد، بتواند در عرض چند ثانیه به درب شما بیاید. فرصت باور نکردنی است از سوی دیگر چهره دیگر اینترنت فاسد است. در حالی که ممکن است افراد خوب از راه دور از خدمات شما استفاده کنند، بازیگران بدخواه به منظور سوء استفاده، سوء استفاده یا حتی آسیب در دروازه ها ظاهر می شوند. از این رو، داشتن سرورها و برنامه‌های کاربردی ضد گلوله و اینترنت امن بسیار مهم است.

خدمات SafetyOverhaul

امنیت سایبری می تواند بسیار زیاد باشد، از سیستم های SCADA و ICS گرفته تا برنامه های کاربردی موبایل، برنامه های کاربردی وب و شبکه های فناوری اطلاعات. در SafetyOverhaul، درهای رو به روی اینترنت و زیرساخت‌های آن‌ها آزمایش می‌شوند و آسیب‌پذیری‌هایی که سنگ بنای حملات هستند، شناسایی می‌شوند. برنامه های کاربردی وب با استفاده از یک لیست طولانی از فناوری ها ساخته می شوند، در اینجا لیستی از ماژول ها و آزمایش ها وجود دارد که SafetyOverhaul روی برنامه وب شما انجام می دهد. اگر برنامه وب شما دارای ماژولی باشد که در زیر لیست نشده است، آن ماژول مطابق استاندارد خود تست می شود.

خدمات:
Information Gathering Analyze Checklist:
1- Search engine recon
2- Map and review web application front-end
3- Review meta files
4- Enumerate applications and web servers on target machines
5- Component discovery and mapping application architecture
Configuration Analyze Checklist:
1- List and Review Components
2- Review Default Files
3- Review Logging Mechanisms
4- Generate System Configuration Benchmark
5- Review System Admin interfaces
6- Review Sensitive and Downloadable Files
7- Review Old, Backup and Unreferenced Files
8- Review Rogue File Permissions
9- Review HTTP Methods
10- Review Policy Files and Headers
11- Review Cloud Storages
12- Review Browser Cache Weakness
Encryption and Error Handling Analyze Checklist:
1- Review HSTS (HTTP Strict Transport Security header)
2- Review SSL/TLS
3- Review Forced Browse to http://
4- Review Present Encryptions
5- Review Error Handling
6- Review Path Confusion
7- Review Padding Oracle
Identity Management and Authentication Analyze Checklist:
1- Role Identification Review
2- Role Creation Review
3- Role Access Review
4- Role Recovery Review
5- Role De-provisioning (Deletion) Review
6- Role Permissions and Functionalities Review
7- Default Credentials Review
8- Review Username Policy
9- Review Password Policy
10- Review Account Enumeration
11- Review Staff Impersonation
12- Review Identity and Authentication Related Error Message
13- Review Bypassing Authentication Schema
14- Review Lockout and Unlock Mechanisms for Weak Practices
15- Review CAPTCHA
16- Review MFA, 2SV, 2FA
17- Review Password Change and Reset Mechanism
18- Review Security Questions and Answers
19- Review Remember-Me Function and Password Managers
20- Review Weaker Authentication or Headers in Alternative Channels
Authorization Analyze Checklist:
1- Review Bypassing Authorization Schema
2- Review Insecure Direct Object Reference (IDOR)
3- Review Directoy traversal, Local and Remote File Include (LFI- RFI)
4- Review OAuth
Session Management and Business Logic Analyze Checklist:
1- Review Session Management Schema
2- Review Cookie Attributes
3- Review Session Fixation
4- Review Exposed Session Variables
5- Review Cross Site Request Forgery (CSRF)
6- Review Logout Functionality
7- Review Session Timeout
8- Review Session Puzzling
9- Review Session Hijacking
10- Review JSON Web Tokens
11- Review Concurrent Sessions
12- Review Business Logic Data Validation
13- Review Ability to Forge Requests
14- Review Integrity Checks
15- Review Process Timing
16- Review Number of Times a Function Can Be Used
17- Review Circumvention Of Work Flows
18- Review Defences Against Application Misuse
19- Review Uploading Unexpected Files
20- Review Uploading Malicious Files
21- Review Payment Functionality
Client-Side Analyze Checklist:
1- Testing for DOM-Based Cross Site Scripting (HTML Injection for XSS, DOM Clobbering)
2- Testing for DOM-Based Open redirection (Client-side URL Redirect)
3- Testing for DOM-Based Cookie manipulation
4- Testing for DOM-Based JavaScript Injection
5- Testing for DOM-Based Document-domain manipulation
6- Testing for DOM-Based WebSocket-URL poisoning
7- Testing for DOM-Based Link manipulation
8- Testing for DOM-Based Web message manipulation (Web Messaging)
9- Testing for DOM-Based Ajax request-header manipulation
10- Testing for DOM-Based Local file-path manipulation
11- Testing for DOM-Based Client-side SQL injection
12- Testing for DOM-Based HTML5-storage manipulation (Browser Storage)
13- Testing for DOM-Based Client-side XPath injection
14- Testing for DOM-Based Client-side JSON injection
15- Testing for DOM-Based DOM-data manipulation
16- Testing for DOM-Based Denial of service
17- Testing for CSS Injection
18- Testing for Client-side Resource Manipulation
19- Testing Cross Origin Resource Sharing
20- Testing for Cross Site Flashing
21- Testing for Clickjacking
22- Testing for Cross Site Script Inclusion
23- Testing for Reverse Tabnabbing
24: Testing for Prototype Pollution
Input Validation Testing Checklist:
1- Testing for Reflected Cross Site Scripting
2- Testing for Stored Cross Site Scripting
3- Testing for HTTP Verb Tampering
4- Testing for HTTP Parameter Pollution
5- Testing for SQL Injection
      5.1 Testing for Oracle
      5.2 Testing for MySQL
      5.3 Testing for SQL Server
      5.4 Testing PostgreSQL
      5.5 Testing for MS Access
      5.6 Testing for NoSQL Injection
      5.7 Testing for ORM Injection
      5.8 Testing for Client-side
6- Testing for LDAP Injection
7- Testing for XML Injection
8- Testing for SSI Injection
9- Testing for XPath Injection
10- Testing for IMAP SMTP Injection
11- Testing for Code Injection
12- Testing for Command Injection
13- Testing for Format String Injection
14- Testing for Incubated Vulnerability
15- Testing for HTTP Splitting Smuggling
16- Testing for HTTP Incoming Requests
17- Testing for Host Header Injection
18- Testing for Server-side Template Injection
19- Testing for Server-Side Request Forgery
20- Testing for Mass Assignment

* برای اطلاعات بیشتر در مورد امنیت سایبری برنامه کاربردی وب مراجعه کنید راهنمای تست امنیت وب OWASP
** در سیستم‌هایی که برنامه وب نیستند مانند SCADA، ICS، برنامه‌های موبایل، اوراکل‌های منقرض شده یا قدیمی، پروژه‌های شبکه و غیره ممکن است نیاز به مراحل اضافی داشته باشد و اگر از راه دور انجام شود، ممکن است پروژه مورد توجه قرار گیرد.
*** اگر صاحب فناوری IT هستید، سیستم‌های خود را برای خسارات ناشی از اعمال مخرب، نقص عملکرد و نگهداری بیمه کنید، سپس اگر دوست داشتید می‌توانید با SafetyOverhaul تماس بگیرید. برای مشاوره رایگان

"سيتم الهجوم على جميع السلع، ويجب الدفاع عن جميع القيم"

                                                                           Jim Rohn (مؤلف)

هل أنت راضٍ عن وعيك؟

لماذا الإصلاح الصناعي؟

هل كنت تعلم...
       أسوأ كارثة صناعية في العالم

كارثة بوبال أو مأساة غاز بوبال كانت حادثًا كيميائيًا بسبب عطل في الصمام، في ليلة 2-3 ديسمبر 1984 في مصنع مبيدات يونيون كاربايد الهند المحدودة (UCIL) في بوبال، ماديا براديش، الهند. في ما يعتبر أسوأ كارثة صناعية في العالم، تعرض أكثر من 500000 شخص في البلدات الصغيرة المحيطة بالمصنع لغاز ميثيل إيزوسيانات عالي السمية (MIC). تختلف التقديرات بشأن عدد القتلى، ولكن في عام 2008، دفعت حكومة ماديا براديش تعويضات لأفراد عائلات الضحايا الذين قتلوا في تسرب الغاز، وللضحايا المصابين. لم تكن هذه الحادثة نتيجة نشاط خبيث بل كانت بسبب كسر في صمام ولكنها أدت إلى خسائر في الأرواح والموارد. يؤدي الإصلاح المنتظم أو حتى الحلقي ومراقبة الحالة إلى تقليل احتمالية حدوث أضرار بسبب خلل في الوحدات المختلفة بشكل كبير
مصدر: كارثة بوبال

لماذا إصلاح الأمن السيبراني؟

هل كنت تعلم...
        أكبر حوادث الأمن السيبراني

يسرد الجدول أدناه أعلى خمس حوادث مكلفة للأمن السيبراني. تم تنفيذ هذه الحوادث من قبل جهات ضارة وأسفرت عن الكثير من الخسائر المالية والسمعة. يؤدي الإصلاح الأمني المنتظم أو السنوي ومراقبة حالة قسم تكنولوجيا المعلومات إلى تقليل معدل نجاح الجهات الفاعلة الضارة التي تقوم بأعمال ضارة بشكل كبير.

شركة خسارة مالية كيف قاموا بالاختراق سنة
Epsilon أكثر من 4 مليار دولار الوصول غير المصرح به إلى نظام البريد الإلكتروني مما يعرض البيانات للخطر 2011
Equifax أكثر من 1.4 مليار دولار استغلال ثغرة الموقع 2017
Yahoo أكثر من 470 مليون دولار خروقات البيانات تكشف مليارات حسابات المستخدمين 2013-2014
Target أكثر من 300 مليون دولار بيانات بطاقة الدفع المخترقة عبر تثبيت البرامج الضارة 2013
Maersk أكثر من 300 مليون دولار هجوم برنامج الفدية NotPetya يعطل العمليات 2017

Epsilon
في عام 2011، تعرضت شركة Epsilon، وهي شركة خدمات تسويقية تعاملت مع اتصالات البريد الإلكتروني للعملاء للعديد من العلامات التجارية الكبرى، لاختراق كبير للبيانات. تمكن المتسللون من الوصول غير المصرح به إلى نظام البريد الإلكتروني الخاص بشركة Epsilon، مما أدى إلى تعرض المعلومات الشخصية لملايين المستهلكين للخطر، بما في ذلك عناوين بريدهم الإلكتروني وأسمائهم. يقول تريفور: "أدى الاختراق إلى خسائر مالية تزيد عن أربعة مليارات دولار لشركة إبسيلون، جاءت من التسويات القانونية، والإضرار بالسمعة، وخسارة الأعمال من العملاء المتضررين".

Equifax
في عام 2017، وقعت شركة Equifax، إحدى أكبر وكالات إعداد التقارير الائتمانية في العالم، ضحية لخرق هائل للبيانات. يقول تريفور: "استغل المتسللون ثغرة أمنية في موقع الشركة على الويب، حيث تمكنوا من الوصول إلى المعلومات الشخصية الحساسة لأكثر من 147 مليون مستهلك، بما في ذلك أرقام الضمان الاجتماعي وتواريخ الميلاد والعناوين". تكبدت شركة Equifax خسارة مالية تقدر بأكثر من 1.4 مليار دولار بسبب التسويات القانونية والغرامات التنظيمية ونفقات الأمن السيبراني.

Yahoo
في عامي 2013 و2014، شهدت شركة ياهو خرقين منفصلين للبيانات مما أدى إلى تعرض المعلومات الشخصية لمليارات المستخدمين حول العالم للخطر. وقد أدت هذه الانتهاكات، التي لم يتم الكشف عنها إلا بعد سنوات، إلى تعريض حسابات المستخدمين للوصول غير المصرح به، مما أدى إلى تداعيات مالية كبيرة لشركة Yahoo. تكبدت الشركة خسائر تبلغ حوالي 470 مليون دولار، بما في ذلك تخفيض سعر الاستحواذ من قبل شركة Verizon Communications والتسويات القانونية مع المستخدمين المتأثرين.

Target
في عام 2013، وقعت شركة Target ضحية لهجوم إلكتروني متطور أدى إلى اختراق بيانات بطاقات الدفع لحوالي 40 مليون عميل. يوضح تريفور أن "المتسللين تسللوا إلى شبكة Target من خلال بائع خارجي، وقاموا بتثبيت برامج ضارة على أنظمة نقاط البيع لجمع معلومات بطاقة الائتمان." أبلغت Target عن خسائر إجمالية تزيد عن 300 مليون دولار، بما في ذلك مدفوعات التسوية للعملاء المتضررين، والرسوم القانونية، والتحسينات اللاحقة للأمن السيبراني.

Maersk
في عام 2017، أصبحت شركة ميرسك، أكبر شركة شحن حاويات في العالم، ضحية لهجوم برنامج الفدية NotPetya. انتشرت البرامج الضارة بسرعة عبر شبكة Maersk العالمية، مما أدى إلى تعطيل العمليات وإجبار الشركة على إغلاق الأنظمة المهمة. أعلنت شركة ميرسك عن خسائر مالية تجاوزت 300 مليون دولار، تعزى إلى استعادة النظام، وانقطاع الأعمال، وفقدان الإيرادات.

مصدر: أغلى خمس هجمات إلكترونية على الإطلاق

أهمية الإنترنت في مواجهة الأمن السيبراني

ثاني أضعف الروابط في أي قسم من أقسام تكنولوجيا المعلومات، هي الخوادم التي تواجه الإنترنت. الإنترنت عالم متوحش، منصة تنشط فيها جميع أنواع الكيانات من الروبوتات إلى البشر. على حد علمنا، لم يكن لدى البشرية أبدًا أداة مثل الإنترنت. يفتح الإنترنت لك الباب حتى يتمكن أي شخص من أي ركن من أركان هذا الكوكب لديه إمكانية الوصول إلى الإنترنت من الوصول إلى بابك في غضون ثوانٍ. الفرصة لا تصدق. ومن ناحية أخرى، الوجه الآخر للإنترنت فاسد. في حين أنه من الممكن للأشخاص الطيبين استخدام خدماتك عن بعد، إلا أن الجهات الفاعلة الخبيثة تظهر عند البوابات بغرض إساءة الاستخدام أو سوء الاستخدام أو حتى الضرر. وبالتالي، من المهم جدًا أن يكون لديك خوادم وتطبيقات آمنة ومواجهة للإنترنت.

خدمات SafetyOverhaul

يمكن أن يكون الأمن السيبراني أمرًا مرهقًا، بدءًا من أنظمة SCADA وICS وحتى تطبيقات الهاتف المحمول وتطبيقات الويب وشبكات تكنولوجيا المعلومات. في SafetyOverhaul، سيتم اختبار الأبواب المواجهة للإنترنت وبنيتها التحتية وسيتم تحديد نقاط الضعف التي تشكل حجر الزاوية للهجمات. يتم إنشاء تطبيقات الويب باستخدام قائمة طويلة من التقنيات، وفيما يلي قائمة بالوحدات والاختبارات التي سيتم تنفيذها بواسطة SafetyOverhaul على تطبيق الويب الخاص بك. إذا كان تطبيق الويب الخاص بك يحتوي على وحدة نمطية غير مدرجة أدناه، فسيتم اختبار هذه الوحدة وفقًا لمعاييرها.

خدمات:
Information Gathering Analyze Checklist:
1- Search engine recon
2- Map and review web application front-end
3- Review meta files
4- Enumerate applications and web servers on target machines
5- Component discovery and mapping application architecture
Configuration Analyze Checklist:
1- List and Review Components
2- Review Default Files
3- Review Logging Mechanisms
4- Generate System Configuration Benchmark
5- Review System Admin interfaces
6- Review Sensitive and Downloadable Files
7- Review Old, Backup and Unreferenced Files
8- Review Rogue File Permissions
9- Review HTTP Methods
10- Review Policy Files and Headers
11- Review Cloud Storages
12- Review Browser Cache Weakness
Encryption and Error Handling Analyze Checklist:
1- Review HSTS (HTTP Strict Transport Security header)
2- Review SSL/TLS
3- Review Forced Browse to http://
4- Review Present Encryptions
5- Review Error Handling
6- Review Path Confusion
7- Review Padding Oracle
Identity Management and Authentication Analyze Checklist:
1- Role Identification Review
2- Role Creation Review
3- Role Access Review
4- Role Recovery Review
5- Role De-provisioning (Deletion) Review
6- Role Permissions and Functionalities Review
7- Default Credentials Review
8- Review Username Policy
9- Review Password Policy
10- Review Account Enumeration
11- Review Staff Impersonation
12- Review Identity and Authentication Related Error Message
13- Review Bypassing Authentication Schema
14- Review Lockout and Unlock Mechanisms for Weak Practices
15- Review CAPTCHA
16- Review MFA, 2SV, 2FA
17- Review Password Change and Reset Mechanism
18- Review Security Questions and Answers
19- Review Remember-Me Function and Password Managers
20- Review Weaker Authentication or Headers in Alternative Channels
Authorization Analyze Checklist:
1- Review Bypassing Authorization Schema
2- Review Insecure Direct Object Reference (IDOR)
3- Review Directoy traversal, Local and Remote File Include (LFI- RFI)
4- Review OAuth
Session Management and Business Logic Analyze Checklist:
1- Review Session Management Schema
2- Review Cookie Attributes
3- Review Session Fixation
4- Review Exposed Session Variables
5- Review Cross Site Request Forgery (CSRF)
6- Review Logout Functionality
7- Review Session Timeout
8- Review Session Puzzling
9- Review Session Hijacking
10- Review JSON Web Tokens
11- Review Concurrent Sessions
12- Review Business Logic Data Validation
13- Review Ability to Forge Requests
14- Review Integrity Checks
15- Review Process Timing
16- Review Number of Times a Function Can Be Used
17- Review Circumvention Of Work Flows
18- Review Defences Against Application Misuse
19- Review Uploading Unexpected Files
20- Review Uploading Malicious Files
21- Review Payment Functionality
Client-Side Analyze Checklist:
1- Testing for DOM-Based Cross Site Scripting (HTML Injection for XSS, DOM Clobbering)
2- Testing for DOM-Based Open redirection (Client-side URL Redirect)
3- Testing for DOM-Based Cookie manipulation
4- Testing for DOM-Based JavaScript Injection
5- Testing for DOM-Based Document-domain manipulation
6- Testing for DOM-Based WebSocket-URL poisoning
7- Testing for DOM-Based Link manipulation
8- Testing for DOM-Based Web message manipulation (Web Messaging)
9- Testing for DOM-Based Ajax request-header manipulation
10- Testing for DOM-Based Local file-path manipulation
11- Testing for DOM-Based Client-side SQL injection
12- Testing for DOM-Based HTML5-storage manipulation (Browser Storage)
13- Testing for DOM-Based Client-side XPath injection
14- Testing for DOM-Based Client-side JSON injection
15- Testing for DOM-Based DOM-data manipulation
16- Testing for DOM-Based Denial of service
17- Testing for CSS Injection
18- Testing for Client-side Resource Manipulation
19- Testing Cross Origin Resource Sharing
20- Testing for Cross Site Flashing
21- Testing for Clickjacking
22- Testing for Cross Site Script Inclusion
23- Testing for Reverse Tabnabbing
24: Testing for Prototype Pollution
Input Validation Testing Checklist:
1- Testing for Reflected Cross Site Scripting
2- Testing for Stored Cross Site Scripting
3- Testing for HTTP Verb Tampering
4- Testing for HTTP Parameter Pollution
5- Testing for SQL Injection
      5.1 Testing for Oracle
      5.2 Testing for MySQL
      5.3 Testing for SQL Server
      5.4 Testing PostgreSQL
      5.5 Testing for MS Access
      5.6 Testing for NoSQL Injection
      5.7 Testing for ORM Injection
      5.8 Testing for Client-side
6- Testing for LDAP Injection
7- Testing for XML Injection
8- Testing for SSI Injection
9- Testing for XPath Injection
10- Testing for IMAP SMTP Injection
11- Testing for Code Injection
12- Testing for Command Injection
13- Testing for Format String Injection
14- Testing for Incubated Vulnerability
15- Testing for HTTP Splitting Smuggling
16- Testing for HTTP Incoming Requests
17- Testing for Host Header Injection
18- Testing for Server-side Template Injection
19- Testing for Server-Side Request Forgery
20- Testing for Mass Assignment

* لمزيد من المعلومات حول تطبيق الويب للأمن السيبراني، تفضل بزيارة دليل اختبار أمان الويب OWASP
** في الأنظمة التي ليست تطبيقات ويب مثل SCADA، وICS، وتطبيقات الهاتف المحمول، والأوراكل المنقرضة أو القديمة، ومشاريع الشبكة، وما إلى ذلك، قد تحتاج عملية الإصلاح إلى خطوات إضافية وإذا كان من الممكن إجراؤها عن بُعد، فقد يتم أخذ المشروع في الاعتبار
*** إذا كنت تمتلك تقنية تكنولوجيا المعلومات، فقم بالتأمين على أنظمتك ضد الأضرار الناجمة عن الأعمال الضارة والأعطال والصيانة، ثم يمكنك الاتصال بـ SafetyOverhaul إذا كنت ترغب في ذلك. للحصول على استشارات مجانية