Первый новостной портал России Последние новости в России и мире за 24 часа
Около 70% веб-приложений, принадлежащих учреждениям государственного и банковского сектора, сфер производства и информационных спецтехнологий содержат критические уязвимости, через которые злоумышленники могут получить доступ к данным юзеров и самих компаний, говорится в исследовании компании «Ростелеком-Солар».
В рамках исследования специалисты проанализировали защищенность веб-приложений, принадлежащих организациям государственного и банковского сектора, сферы производства, информационных спецтехнологий, информационной безопасности и других. Всего было проанализировано более 30 веб-приложений, посреди которых, в частности, интернет-порталы компаний, системы дистанционного банковского обслуживания, CRM.
«Около 70% исследованных приложений содержат критичные уязвимости, которые позволяют киберпреступникам получить доступ к секретным данным организации и пользователей, а также от имени жертвы совершать в уязвимых онлайн-сервисах разные операции… Критические и легко эксплуатируемые уязвимости содержатся фактически в каждом веб-приложении. Большая часть из них связана с отсутствием фильтрации поступающих данных на стороне веб-сервера, а также с изъянами на уровне бизнес-логики приложений», — говорится в документе.
Так, практически у 70% веб-приложений есть «небезопасные прямые ссылки на объекты» (IDOR), буквально через которые злоумышленник может получить несанкционированный доступ к данным юзеров. «Чаще всего эта уязвимость встречается в веб-приложениях со сложной логической структурой, к примеру, в системах дистанционного банковского обслуживания. Успешная эксплуатация IDOR-уязвимости в этом случае может позволить злодею, например, получить информацию о транзакциях и состоянии счетов юзеров или изменить данные их профилей», — указывают специалисты.
У более чем 50% веб-приложений — проблемы в фильтрации поступающих на сервер данных, что дает вероятность провести атаки типа XSS (Cross-Site Scripting – межсайтовое выполнение сценариев). Такие спецатаки позволяют злоумышленнику внедрить в веб-страницу вредоносный код Java Script, который будет передавать ему файлы cookie юзера. С помощью полученных данных (зарегистрированная информация:439; представление фактов, понятий или инструкций в форме, приемлемой для общения, интерпретации, или обработки человеком или с помощью автоматических средств) злоумышленник может авторизоваться на ресурсах в инете под учетными данными жертвы и действовать от ее имени.
В конце концов, 30% уязвимостей связаны с возможностью внедрения SQL-кода, что разрешает злоумышленнику получить контроль над базой данных организации, доступ к секретным данным клиентов (например, данным паспорта, кредитной карты, инфо о платёжных операциях) и возможность менять их непосредственно на сервере. Данный тип уязвимости влечет за собой серьезные риски утечки данных (в том числе индивидуальных и платежных), а также финансовых и репутационных утрат, подчёркивается в документе.
