Эксперты «Ростелеком-Солар»: около 70% веб-приложений содержат критические уязвимости

A− A= A+ 20.05.2020 Новости БД

Компания «Ростелеком-Солар» провела анализ защищенности #веб-приложений, принадлежащих организациям государственного и банковского сектора, сферы производства, информационных технологий, информационной безопасности и других. Около 70% исследованных приложений содержат критические #уязвимости, которые позволяют #киберпреступникам получить доступ к конфиденциальным данным организации и пользователей, а также от имени жертвы совершать в уязвимых онлайн-сервисах различные операции.

В основу исследования легли данные, полученные экспертами «Ростелеком-Солар» в ходе киберучений, тестирований на проникновение и проектов по анализу защищенности. Всего было проанализировано более 30 веб-приложений, среди которых – интернет-порталы компаний, системы дистанционного банковского обслуживания, CRM и другие. Результаты свидетельствуют о том, что критические и легко эксплуатируемые уязвимости содержатся практически в каждом веб-приложении. Большая часть из них связана с отсутствием фильтрации поступающих данных на стороне веб-сервера, а также с недостатками на уровне бизнес-логики приложений.

Почти 70% веб-приложений оказались подвержены IDOR-уязвимостям (Insecure direct object references – небезопасные прямые ссылки на объекты). Эксплуатируя их, злоумышленник может методом перебора найти используемые в системе идентификаторы и получить несанкционированный доступ к данным пользователей. Чаще всего эта уязвимость встречается в веб-приложениях со сложной логической структурой, например, в системах дистанционного банковского обслуживания. Успешная эксплуатация IDOR-уязвимости в этом случае может позволить злоумышленнику, например, получить информацию о транзакциях и состоянии счетов пользователей или изменить данные их профилей.

«Как показывает наша практика, логические уязвимости, например, класса IDOR, встречаются чаще других – причина в том, что уязвимости, связанные с логикой, очень сложно выявить с помощью сканеров кода, – поясняет Александр Колесов, руководитель отдела анализа защищенности «Ростелеком-Солар». – Но они же являются и одними из самых критичных – ведь злоумышленники могут получить доступ к данным других пользователей. В случае с банковскими системами это может быть очень чувствительная информация».

Более 50% веб-приложений содержат недостатки в фильтрации поступающих на сервер данных, что дает возможность провести атаки типа XSS (Cross-Site Scripting – межсайтовое выполнение сценариев). Такие атаки, позволяют злоумышленнику внедрить в веб-страницу вредоносный JavaScript-код, который будет выполнен в браузере жертвы при открытии страницы. Этот код может взаимодействовать с веб-сервером злоумышленника и передавать туда, например, cookie-файлы пользователя – с их помощью злоумышленник может авторизоваться на интернет-ресурсах под учетными данными жертвы и действовать от ее имени.

Еще 30% уязвимостей связаны с возможностью внедрения SQL-кода из-за отсутствия или некорректной фильтрации входящих запросов от пользователя. За счет этого злоумышленник может получить контроль над базой данных организации и в том числе доступ к конфиденциальным данным клиентов (например, данным паспорта, кредитной карты, информации о транзакциях и т.п.) и возможность менять их непосредственно на сервере. В определенных случаях злоумышленник может запустить выполнение кода операционной системы и тем самым получить контроль над сервером, что позволит ему в дальнейшем дублировать все данные в свое хранилище. Этот тип уязвимости влечет наиболее серьезные риски утечки данных (в том числе персональных и платежных), а также финансовых и репутационных потерь.

"Эти уязвимости существуют очень давно – к примеру, уже много лет эксперты предрекают смерть SQL-инъекциям, однако даже в новых приложениях сегодня можно встретить данную уязвимость, – комментирует Александр Колесов, руководитель отдела анализа защищенности «Ростелеком-Солар». – Защита веб-приложений – прежде всего, задача разработчика. Не стоит полностью полагаться на средства защиты – в частности, Web Application Firewall не может обнаружить атаки, направленные на уязвимости в логике работы приложения, например, IDOR. Необходимо уже на этапе создания приложения соблюдать ключевые принципы безопасной разработки: всегда фильтровать поступающие от пользователя данные и проверять права доступа – на уровне Back-end, а не клиентского интерфейса. Кроме того, необходимо периодически проводить анализ защищенности приложения».

← вернуться назад

Контакты для прессы

Тел./факс: +7 (495) 708-32-81
E-mail: reclama@tpnews.ru

Корпоративные новости

Креативный девелопмент в фокусе внимания Ассоциации краудфандинга 3 июля 2025 года в Москве прошёл Федеральный интеграционный форсайт-форум «Российский креативный девелопмент 2025. Инфраструктура для жизни», организованный Советом по финансово-промышленной и инвестиционной политике Торгово-промышленной палаты Российской Федерации и Ассоциацией деятелей культуры и бизнеса «Я Лидер».По приглашению организаторов в качестве эксперта в форуме принял участие директор Ассоциации операторов инвестиционных платформ (Краудфандинга) Кирилл Косминский. В фокусе внимания участников форума – устойчивое развитие городских территорий, введение философии креативного

BSS показала, как Agentic AI превращает контакт-центр в драйвер роста бизнеса BSS собрала на закрытом бизнес-ужине лидеров ритейла, медицины и страхования для обсуждения трансформации клиентского сервиса через Agentic AI.Компания BSS провела закрытый бизнес-ужин с участием ведущих экспертов в области искусственного интеллекта и представителей ключевых отраслей экономики — ритейла, медицины и страхования. Участники встречи обсудили актуальные тренды в клиентском обслуживании и возможности внедрения передовых технологий на основе Agentic AI. Главной темой мероприятия стало рассмотрение того, как подход Agentic AI революционно меняет роль контакт-центров. Как из к

НОВИКОМ наградил изобретательницу на форуме «Инженеры будущего» НОВИКОМ (входит в холдинг «РТ-Финанс» – центр компетенций финансовых услуг Госкорпорации Ростех) вручил премию «Инженерный авангард» талантливой изобретательнице из концерна «Созвездие» холдинга «Росэл». Награждение состоялось в рамках церемонии закрытия молодежного форума «Инженеры будущего – 2025», партнером которого выступает банк Ростеха.Обладателем премии «Инженерный авангард» стала Екатерина Артемова, начальник сектора научно-технического центра АО «Концерн «Созвездие». Екатерина Артемова — соавтор инновационного метода моноимпульсного пеленгования

НОВИКОМ обновил категории повышенного кешбэка НОВИКОМ (входит в холдинг «РТ-Финанс» — центр компетенций финансовых услуг Госкорпорации Ростех) обновил категории товаров и услуг для получения повышенного кешбэка. При этом клиентам банка остаются доступны самые востребованные категории – «Супермаркеты» и «Оплата ЖКХ/ЖКУ».С 1 июля 2025 года держатели карт НОВИКОМа могут вернуть 25% при оплате канцтоваров, 7% – за товары из категории «Косметика», 5% – за детские товары и покупки в ресторанах. Возврат в размере 3% предусмотрен при покупках в аптеках. По категориям «Супермаркеты» и «ЖКУ» сохраняет

Все корпоративные новости »

E-mail:
reclama@tpnews.ru
pr2@tpnews.ru

Телефон:
+7 (495) 708-32-81

Медиа-холдинг «Капитал-инфо»

Рождественский бал финансовой, политической и бизнес-элиты.
Ежегодная международная премия в области экономики и финансов имени П.А. Столыпина.
Ежегодная международная евразийская премия «Лидеры туриндустрии».
Евразийская премия в области лизинга в России и Евразии «Россия-Евразия Leasing Awards».

Дизайн, разработка и техническая поддержка сайта – компания Finarty.

Наверх