Согласно данным Positive Technologies, 16% приложений содержат уязвимости, позволяющие получить полный контроль над системой, а в 8% случаев – атаковать внутреннюю сеть компании. Получив полный доступ к веб-серверу, хакеры могут размещать на атакуемом сайте собственный контент или атаковать его посетителей, заражая их компьютеры ВПО.

По информации исследования, по итогам прошлого года существенно, на 17 п.п. по сравнению с 2018 г., снизилась доля веб-приложений, которые содержат уязвимости высокого уровня риска. Число уязвимостей, которое в среднем приходится на одно приложение, снизилось по сравнению с 2019 г. почти в полтора раза. Несмотря на это общий уровень защищенности веб-приложений специалисты Positive Technologies оценивают как низкий.

82% всех выявленных уязвимостей обусловлены ошибками в коде. Даже в случае продуктивных систем в каждой второй находили уязвимости высокого уровня риска. Высокий процент ошибок в исходном коде свидетельствует о том, что код не проходит проверку на наличие уязвимостей на промежуточных этапах создания, а также что разработчики по-прежнему уделяют недостаточно внимания безопасности, делая ставку на функциональность приложения.

В 45% исследованных веб-приложений специалисты Positive Technologies обнаружили недостатки аутентификации. Многие уязвимости из этой категории критически опасны. “Большинство атак на аутентификацию связано с тем, что пользователи устанавливают только пароль, – рассказывает аналитик Positive Technologies Ольга Зиненко. – Отсутствие второго фактора делает атаки на аутентификацию простыми в реализации. Эта проблема усугубляется тем, что пользователи стараются придумать пароли попроще. Обход ограничений доступа обычно приводит к несанкционированному разглашению, изменению или уничтожению данных”.

По данным Positive Technologies, 90% веб-приложений подвержены угрозе атак на клиентов. Как и в предыдущие годы, существенную роль в этом играет уязвимость “межсайтовое выполнение сценариев” (Cross-Site Scripting, XSS). Примерами атак на пользователей могут быть заражение компьютеров вредоносным ПО (доля этого метода атак на частных лиц в III квартале 2019 г. увеличилась до 62% против 50% во II квартале), фишинговые атаки для получения учетных или других важных данных, а также выполнение действий от имени пользователя с помощью обманной техники clickjacking, в частности для накрутки лайков и просмотров.

В исследовании Positive Technologies проанализировал 38 полнофункциональных веб-приложений ИT-компаний (29% общего числа исследованных приложений), финансовых организаций (26%), организаций сферы телекоммуникаций (21%), промышленного сектора (16%) и госучреждений (8%).

Как считает Ольга Зиненко, в 2020 г. уязвимости, которые связаны с ошибками в коде, будут преобладать над остальными недостатками веб-приложений. “Тенденция сохраняется на протяжении многих лет и вряд ли в ближайшее время кардинально изменится”, – сказала специалист.

По результатам исследований Positive Technologies, последние три года такие угрозы, как XSS, “недостатки аутентификации” и “разглашение конфиденциальных данных”, занимают лидирующие позиции. Также они входят в OWASP Top 10-2017. Это независимый рейтинг актуальных проблем безопасности веб-приложений. “Доля веб-приложений, в которых есть хотя бы одна критически опасная уязвимость, вероятно сохранится на уровне 50%. Однако для злоумышленника порой достаточно только одной такой уязвимости, чтобы получить доступ к приложению с максимальными привилегиями”, – предостерегает Ольга Зиненко.

Руководитель направления аналитики и спецпроектов ГК InfoWatch Андрей Арсентьев согласен, что общий уровень защищенности приложений остается невысоким. Во многом это связано с большим дефицитом квалифицированных разработчиков, экономией бюджетов и недооценкой роли тестирования на всех этапах жизненного цикла приложений. “Кроме того, компании зачастую не проверяют качественно приложение, ставя в больший приоритет быстрый вывод продукта на рынок”, – добавляет представитель InfoWatch.

Как следствие, по оценкам Андрея Арсентьева, до 25% всех утечек конфиденциальной информации происходят именно в результате эксплуатации уязвимостей. Чтобы этого избежать, эксперт советует регулярно проводить аудит приложений, автоматизировать тесты на всех этапах создания ПО, проверять зависимости кода, развивать навыки безопасного кодирования у разработчиков.

“Скорее всего, в 2020 г. опаснее станут уязвимости через цепочку поставок, а также уязвимости ПО на основе open source. В целом не меньшую угрозу, чем эксплуатация уязвимостей, для корпоративных приложений будут представлять фишинговые атаки, использование украденных учетных данных и умышленные действия внутренних мошенников”, – прогнозирует специалист InfoWatch.