English

Около 70% корпоративных веб-приложений в России имеют опасные уязвимости

19 мая 2020

Около 70% веб-приложений, принадлежащих организациям государственного и банковского сектора, сфер производства и информационных технологий содержат критические уязвимости, через которые злоумышленники могут получить доступ к данным пользователей и самих компаний, говорится в исследовании компании «Ростелеком-Солар».

В рамках исследования эксперты проанализировали защищенность веб-приложений, принадлежащих организациям государственного и банковского сектора, сферы производства, информационных технологий, информационной безопасности и других. Всего было проанализировано более 30 веб-приложений, среди которых, в частности, интернет-порталы компаний, системы дистанционного банковского обслуживания, CRM.

«Около 70% исследованных приложений содержат критические уязвимости, которые позволяют киберпреступникам получить доступ к конфиденциальным данным организации и пользователей, а также от имени жертвы совершать в уязвимых онлайн-сервисах различные операции… Критические и легко эксплуатируемые уязвимости содержатся практически в каждом веб-приложении. Большая часть из них связана с отсутствием фильтрации поступающих данных на стороне веб-сервера, а также с недостатками на уровне бизнес-логики приложений», — говорится в документе.

Так, почти у 70% веб-приложений есть «небезопасные прямые ссылки на объекты» (IDOR), через которые злоумышленник может получить несанкционированный доступ к данным пользователей. «Чаще всего эта уязвимость встречается в веб-приложениях со сложной логической структурой, например, в системах дистанционного банковского обслуживания. Успешная эксплуатация IDOR-уязвимости в этом случае может позволить злоумышленнику, например, получить информацию о транзакциях и состоянии счетов пользователей или изменить данные их профилей», — указывают эксперты.

У более чем 50% веб-приложений — проблемы в фильтрации поступающих на сервер данных, что дает возможность провести атаки типа XSS (Cross-Site Scripting – межсайтовое выполнение сценариев). Такие атаки позволяют злоумышленнику внедрить в веб-страницу вредоносный код Java Script, который будет передавать ему файлы cookie пользователя. С помощью полученных данных злоумышленник может авторизоваться на ресурсах в интернете под учетными данными жертвы и действовать от ее имени.

Наконец, 30% уязвимостей связаны с возможностью внедрения SQL-кода, что позволяет злоумышленнику получить контроль над базой данных организации, доступ к конфиденциальным данным клиентов (например, данным паспорта, кредитной карты, информации о платёжных операциях) и возможность менять их непосредственно на сервере. Этот тип уязвимости влечет за собой серьезные риски утечки данных (в том числе персональных и платежных), а также финансовых и репутационных потерь, подчёркивается в документе.

Источник
Новости по теме
В России создадут доверенную платформу сбора и обработки сенсорной информации
Москва поднялась на девятое место в мире по уровню развития инноваций
С обновленной регуляторной системой Россия может стать одним из лидеров в новом технологическом укладе