Около 70% корпоративных веб-приложений в России имеют опасные уязвимости

19 May 2020

Около 70% веб-приложений, принадлежащих организациям государственного и банковского сектора, сфер производства и информационных технологий содержат критические уязвимости, через которые злоумышленники могут получить доступ к данным пользователей и самих компаний, говорится в исследовании компании “Ростелеком-Солар”.

В рамках исследования эксперты проанализировали защищенность веб-приложений, принадлежащих организациям государственного и банковского сектора, сферы производства, информационных технологий, информационной безопасности и других. Всего было проанализировано более 30 веб-приложений, среди которых, в частности, интернет-порталы компаний, системы дистанционного банковского обслуживания, CRM.

“Около 70% исследованных приложений содержат критические уязвимости, которые позволяют киберпреступникам получить доступ к конфиденциальным данным организации и пользователей, а также от имени жертвы совершать в уязвимых онлайн-сервисах различные операции… Критические и легко эксплуатируемые уязвимости содержатся практически в каждом веб-приложении. Большая часть из них связана с отсутствием фильтрации поступающих данных на стороне веб-сервера, а также с недостатками на уровне бизнес-логики приложений”, — говорится в документе.

Так, почти у 70% веб-приложений есть “небезопасные прямые ссылки на объекты” (IDOR), через которые злоумышленник может получить несанкционированный доступ к данным пользователей. “Чаще всего эта уязвимость встречается в веб-приложениях со сложной логической структурой, например, в системах дистанционного банковского обслуживания. Успешная эксплуатация IDOR-уязвимости в этом случае может позволить злоумышленнику, например, получить информацию о транзакциях и состоянии счетов пользователей или изменить данные их профилей”, — указывают эксперты.

У более чем 50% веб-приложений — проблемы в фильтрации поступающих на сервер данных, что дает возможность провести атаки типа XSS (Cross-Site Scripting – межсайтовое выполнение сценариев). Такие атаки позволяют злоумышленнику внедрить в веб-страницу вредоносный код Java Script, который будет передавать ему файлы cookie пользователя. С помощью полученных данных злоумышленник может авторизоваться на ресурсах в интернете под учетными данными жертвы и действовать от ее имени.

Наконец, 30% уязвимостей связаны с возможностью внедрения SQL-кода, что позволяет злоумышленнику получить контроль над базой данных организации, доступ к конфиденциальным данным клиентов (например, данным паспорта, кредитной карты, информации о платёжных операциях) и возможность менять их непосредственно на сервере. Этот тип уязвимости влечет за собой серьезные риски утечки данных (в том числе персональных и платежных), а также финансовых и репутационных потерь, подчёркивается в документе.

Source
Related news
Game software working group to be established in Russia — expert
Sberbank has no critical dependencies on Western suppliers — CEO
Number of Russia’s IT industry employees rises by 12% in 2022