Эксперты «Ростелеком-Солар»: около 70% веб-приложений содержат критические уязвимости

A A= A+ 20.05.2020 Новости БД

Компания «Ростелеком-Солар» провела анализ защищенности #веб-приложений, принадлежащих организациям государственного и банковского сектора, сферы производства, информационных технологий, информационной безопасности и других. Около 70% исследованных приложений содержат критические #уязвимости, которые позволяют #киберпреступникам получить доступ к конфиденциальным данным организации и пользователей, а также от имени жертвы совершать в уязвимых онлайн-сервисах различные операции.   

В основу исследования легли данные, полученные экспертами «Ростелеком-Солар» в ходе киберучений, тестирований на проникновение и проектов по анализу защищенности. Всего было проанализировано более 30 веб-приложений, среди которых – интернет-порталы компаний, системы дистанционного банковского обслуживания, CRM и другие. Результаты свидетельствуют о том, что критические и легко эксплуатируемые уязвимости содержатся практически в каждом веб-приложении. Большая часть из них связана с отсутствием фильтрации поступающих данных на стороне веб-сервера, а также с недостатками на уровне бизнес-логики приложений.   

Почти 70% веб-приложений оказались подвержены IDOR-уязвимостям (Insecure direct object references – небезопасные прямые ссылки на объекты). Эксплуатируя их, злоумышленник может методом перебора найти используемые в системе идентификаторы и получить несанкционированный доступ к данным пользователей. Чаще всего эта уязвимость встречается в веб-приложениях со сложной логической структурой, например, в системах дистанционного банковского обслуживания. Успешная эксплуатация IDOR-уязвимости в этом случае может позволить злоумышленнику, например, получить информацию о транзакциях и состоянии счетов пользователей или изменить данные их профилей.   

«Как показывает наша практика, логические уязвимости, например, класса IDOR, встречаются чаще других – причина в том, что уязвимости, связанные с логикой, очень сложно выявить с помощью сканеров кода, – поясняет Александр Колесов, руководитель отдела анализа защищенности «Ростелеком-Солар». – Но они же являются и одними из самых критичных – ведь злоумышленники могут получить доступ к данным других пользователей. В случае с банковскими системами это может быть очень чувствительная информация».   

Более 50% веб-приложений содержат недостатки в фильтрации поступающих на сервер данных, что дает возможность провести атаки типа XSS (Cross-Site Scripting – межсайтовое выполнение сценариев). Такие атаки, позволяют злоумышленнику внедрить в веб-страницу вредоносный JavaScript-код, который будет выполнен в браузере жертвы при открытии страницы. Этот код может взаимодействовать с веб-сервером злоумышленника и передавать туда, например, cookie-файлы пользователя – с их помощью злоумышленник может авторизоваться на интернет-ресурсах под учетными данными жертвы и действовать от ее имени.   

 

  Еще 30% уязвимостей связаны с возможностью внедрения SQL-кода из-за отсутствия или некорректной фильтрации входящих запросов от пользователя. За счет этого злоумышленник может получить контроль над базой данных организации и в том числе доступ к конфиденциальным данным клиентов (например, данным паспорта, кредитной карты, информации о транзакциях и т.п.) и возможность менять их непосредственно на сервере. В определенных случаях злоумышленник может запустить выполнение кода операционной системы и тем самым получить контроль над сервером, что позволит ему в дальнейшем дублировать все данные в свое хранилище. Этот тип уязвимости влечет наиболее серьезные риски утечки данных (в том числе персональных и платежных), а также финансовых и репутационных потерь.    

 

  "Эти уязвимости существуют очень давно – к примеру, уже много лет эксперты предрекают смерть SQL-инъекциям, однако даже в новых приложениях сегодня можно встретить данную уязвимость, – комментирует Александр Колесов, руководитель отдела анализа защищенности «Ростелеком-Солар». – Защита веб-приложений – прежде всего, задача разработчика. Не стоит полностью полагаться на средства защиты – в частности, Web Application Firewall не может обнаружить атаки, направленные на уязвимости в логике работы приложения, например, IDOR. Необходимо уже на этапе создания приложения соблюдать ключевые принципы безопасной разработки: всегда фильтровать поступающие от пользователя данные и проверять права доступа – на уровне Back-end, а не клиентского интерфейса. Кроме того, необходимо периодически проводить анализ защищенности приложения». 

Контакты для прессы

Тел./факс: +7 (495) 708-32-81
E-mail: [email protected]tpnews.ru

 

Корпоративные новости

Биткоин: коронавирус идет криптовалюте на пользу Благодаря триллионным программам по стимулированию американской экономики баланс ФРС и объем денежной базы увеличиваются рекордными темпами.Дефицит американского бюджета превышает $3,4 трлн, а соотношение государственного долга к ВВП приближается к 120%. Аналогичная динамика наблюдается и в других странах, вследствие чего может возрасти спрос на устойчивые к инфляции криптовалюты, которые имеют все шансы на дальнейший рост. Огромные потоки ликвидности будут просачиваться в реальную экономику, а это будет способствовать росту инфляции, снижению покупательской способности и даже утрате довери
4 500 жителей Оренбургской области застраховались от несчастных случаев в «Сбербанк страхование» в 2020 году С начала года 4,5 тыс. жителей Оренбургской области защитили себя от непредвиденных расходов, связанных со здоровьем, при помощи программы страхования «Защита близких+».О собственном здоровье и здоровье семьи чаще беспокоятся женщины: именно они заключили 65% от общего количества договоров по этой программе. Программа «Защита близких+» включает в себя три варианта страхования на выбор — «Для себя», «Для семьи» и «Для детей» — и позволяет застраховаться от травм в результате несчастных случаев. Полис действует круглосуточно, а страх
Совкомбанк запустил удаленную выдачу ипотеки Совкомбанк начал выдавать ипотечные кредиты на покупку недвижимости на первичном рынке дистанционно.Весь процесс от рассмотрения ипотечной заявки до выдачи кредита проходит без посещения офиса с использованием усиленных квалифицированных электронных подписей. В мае банк провел первую сделку в удаленном формате. Кредит был выдан на приобретение квартиры по договору долевого участия в Санкт-Петербурге (ГК Glorax Development - жилой комплекс «Английская миля»). Процесс удаленного подписания ипотечных сделок переведен в промышленную эксплуатацию и доступен не только действующим,
Moody’s подтвердило рейтинг Новикомбанка на уровне Ва3 со «стабильным» прогнозом Международное агентство Moody’s подтвердило долгосрочный депозитный рейтинг Новикомбанка в национальной и иностранной валюте на уровне Ba3, прогноз «стабильный».Данный рейтинг отражает расширение и эффективное развитие бизнеса банка, устойчивый рост его активов и их высокое качество. Сохранение стабильного прогноза Новикомбанка на фоне экономических угроз, связанных с глобальным распространением коронавирусной инфекции, говорит о реально высоком качестве активов Банка, достаточном уровне его ликвидности, эффективных операционных показателях деятельности. При подтверждении депозитного рейтин
Все корпоративные новости »