Problemas de seguridad de Equifax descubiertos en 2016

Los problemas de seguridad identificados en 2016 en el sitio web de Equifax aún no se han solucionado. Identificar el problema es solo un paso, pero solucionarlo supone un desafío aún mayor. Se requiere tiempo y habilidad para volver al código, entender el contexto y solucionar los problemas.
Está claro que los desarrolladores de Equifax estaban bajo mucho estrés y muchas de las vulnerabilidades conocidas no se solucionaron. Lamentablemente, esa falta de acción ha tenido ahora la peor respuesta posible.
La seguridad debe estar integrada desde el principio y los desarrolladores necesitan las habilidades, la capacitación y las herramientas integradas en el IDE para minimizar la escritura de las vulnerabilidades conocidas. Se requieren conocimientos específicos del lenguaje y el marco para solucionar los problemas identificados. El principio general para solucionar un problema de XSS sigue siendo el mismo, sin embargo, la implementación real depende de los marcos establecidos.
Si quieres realizar una formación interactiva sobre cómo solucionar problemas de XSS en Struts, consulta: https://portal.securecodewarrior.com/#/simple-flow/web/xss/reflected/java/struts
Si pasamos a 2016, un investigador de seguridad encontró una vulnerabilidad común conocida como cross-site scripting (XSS) en el sitio web principal de Equifax, según un tuit de un investigador con el nombre de x0rz. Estos errores del XSS permiten a los atacantes enviar enlaces especialmente diseñados a los clientes de Equifax y, si el objetivo hace clic y ha iniciado sesión en el sitio, el hacker puede revelar su nombre de usuario y contraseña.
https://www.forbes.com/sites/thomasbrewster/2017/09/08/equifax-data-breach-history/#552ab1c9677c
Govern AI-driven development before it ships
Measure AI-assisted risk, enforce secure coding policy at commit, and accelerate secure delivery across your SDLC.
Explore more blogs
Lorem ipsum diam quis enim lobortis scelerisque fermentum dui faucibus in ornare quam viverra orci sagittis eu volutpat odio facilisis.
%252520%252520(3).avif)
Supercharged Security Awareness: How Tournaments are Inspiring Developers at Erste Group
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.

Security as culture: How Blue Prism cultivates world-class secure developers
Learn how Blue Prism, the global leader in intelligent automation for the enterprise, used Secure Code Warrior's agile learning platform to create a security-first culture with their developers, achieve their business goals, and ship secure code at speed

One Culture of Security: How Sage built their security champions program with agile secure code learning
Discover how Sage enhanced security with a flexible, relationship-focused approach, creating 200+ security champions and achieving measurable risk reduction.

Post-Quantum Cryptography: Quantum Computers Will Break Today’s Encryption – Are You Ready?
Post-quantum cryptography (PQC) is critical for protecting data from quantum computing threats. Learn how “harvest now, decrypt later” exposes risk and how developers can prepare for quantum-safe security.

Observe and Secure the ADLC: A Four-Point Framework for CISOs and Development Teams Using AI
While development teams look to make the most of GenAI’s undeniable benefits, we’d like to propose a four-point foundational framework that will allow security leaders to deploy AI coding tools and agents with a higher, more relevant standard of security best practices. It details exactly what enterprises can do to ensure safe, secure code development right now, and as agentic AI becomes an even bigger factor in the future.
Secure AI-driven development before it ships
See developer risk, enforce policy, and prevent vulnerabilities across your software development lifecycle.