Эксперты «Ростелеком-Солар»: около 70% веб-приложений содержат критические уязвимости

A− A= A+ 20.05.2020 Новости БД

Компания «Ростелеком-Солар» провела анализ защищенности #веб-приложений, принадлежащих организациям государственного и банковского сектора, сферы производства, информационных технологий, информационной безопасности и других. Около 70% исследованных приложений содержат критические #уязвимости, которые позволяют #киберпреступникам получить доступ к конфиденциальным данным организации и пользователей, а также от имени жертвы совершать в уязвимых онлайн-сервисах различные операции.

В основу исследования легли данные, полученные экспертами «Ростелеком-Солар» в ходе киберучений, тестирований на проникновение и проектов по анализу защищенности. Всего было проанализировано более 30 веб-приложений, среди которых – интернет-порталы компаний, системы дистанционного банковского обслуживания, CRM и другие. Результаты свидетельствуют о том, что критические и легко эксплуатируемые уязвимости содержатся практически в каждом веб-приложении. Большая часть из них связана с отсутствием фильтрации поступающих данных на стороне веб-сервера, а также с недостатками на уровне бизнес-логики приложений.

Почти 70% веб-приложений оказались подвержены IDOR-уязвимостям (Insecure direct object references – небезопасные прямые ссылки на объекты). Эксплуатируя их, злоумышленник может методом перебора найти используемые в системе идентификаторы и получить несанкционированный доступ к данным пользователей. Чаще всего эта уязвимость встречается в веб-приложениях со сложной логической структурой, например, в системах дистанционного банковского обслуживания. Успешная эксплуатация IDOR-уязвимости в этом случае может позволить злоумышленнику, например, получить информацию о транзакциях и состоянии счетов пользователей или изменить данные их профилей.

«Как показывает наша практика, логические уязвимости, например, класса IDOR, встречаются чаще других – причина в том, что уязвимости, связанные с логикой, очень сложно выявить с помощью сканеров кода, – поясняет Александр Колесов, руководитель отдела анализа защищенности «Ростелеком-Солар». – Но они же являются и одними из самых критичных – ведь злоумышленники могут получить доступ к данным других пользователей. В случае с банковскими системами это может быть очень чувствительная информация».

Более 50% веб-приложений содержат недостатки в фильтрации поступающих на сервер данных, что дает возможность провести атаки типа XSS (Cross-Site Scripting – межсайтовое выполнение сценариев). Такие атаки, позволяют злоумышленнику внедрить в веб-страницу вредоносный JavaScript-код, который будет выполнен в браузере жертвы при открытии страницы. Этот код может взаимодействовать с веб-сервером злоумышленника и передавать туда, например, cookie-файлы пользователя – с их помощью злоумышленник может авторизоваться на интернет-ресурсах под учетными данными жертвы и действовать от ее имени.

Еще 30% уязвимостей связаны с возможностью внедрения SQL-кода из-за отсутствия или некорректной фильтрации входящих запросов от пользователя. За счет этого злоумышленник может получить контроль над базой данных организации и в том числе доступ к конфиденциальным данным клиентов (например, данным паспорта, кредитной карты, информации о транзакциях и т.п.) и возможность менять их непосредственно на сервере. В определенных случаях злоумышленник может запустить выполнение кода операционной системы и тем самым получить контроль над сервером, что позволит ему в дальнейшем дублировать все данные в свое хранилище. Этот тип уязвимости влечет наиболее серьезные риски утечки данных (в том числе персональных и платежных), а также финансовых и репутационных потерь.

"Эти уязвимости существуют очень давно – к примеру, уже много лет эксперты предрекают смерть SQL-инъекциям, однако даже в новых приложениях сегодня можно встретить данную уязвимость, – комментирует Александр Колесов, руководитель отдела анализа защищенности «Ростелеком-Солар». – Защита веб-приложений – прежде всего, задача разработчика. Не стоит полностью полагаться на средства защиты – в частности, Web Application Firewall не может обнаружить атаки, направленные на уязвимости в логике работы приложения, например, IDOR. Необходимо уже на этапе создания приложения соблюдать ключевые принципы безопасной разработки: всегда фильтровать поступающие от пользователя данные и проверять права доступа – на уровне Back-end, а не клиентского интерфейса. Кроме того, необходимо периодически проводить анализ защищенности приложения».

← вернуться назад

Контакты для прессы

Тел./факс: +7 (495) 708-32-81
E-mail: reclama@tpnews.ru

Корпоративные новости

Эксперт НОВИКОМа рассказала на ЦИПР о регуляторных новациях на рынке ЦФА и ИЦП Эксперт НОВИКОМа (входит в холдинг «РТ-Финанс» – центр компетенций финансовых услуг Госкорпорации Ростех) рассказал об эволюции рынка цифровых финансовых активов (ЦФА) и иностранных цифровых прав (ИЦП). Дискуссия прошла на сессии «Криптовалюта и свобода денег. Иллюзия или реальность?» в рамках деловой программы конференции ЦИПР-2025.В ходе дискуссии старший вице-президент дочернего банка Ростеха Анна Лаврентьева обозначила последние изменения в законодательной базе рынка ЦФА. По словам эксперта, за последние полтора года был принят целый ряд регуляторных новаций, которые позволяют ЦФА уверенно

НОВИКОМ на ЦИПР обсудил новые финансовые инструменты НОВИКОМ (входит в холдинг «РТ-Финанс» – центр компетенций финансовых услуг Госкорпорации Ростех) провел панельную дискуссию в рамках прошедшей в Нижнем Новгороде десятой юбилейной конференции ЦИПР-2025. Тема мероприятия – «Новые финансовые инструменты – катализатор технологического роста».В дискуссии приняли участие представители Российского союза промышленников и предпринимателей, Московского венчурного фонда, аналитического центра «Форум» и руководители крупных предприятий. Они обсудили состояние и перспективы отечественного рынка токенизированных финансовых инструментов. Моде

НОВИКОМ на ЦИПР: расширяя поддержку кадров промышленности НОВИКОМ (входит в холдинг «РТ-Финанс» – центр компетенций финансовых услуг Госкорпорации Ростех) подключил к мотивационной программе «Развитие» ряд предприятий Госкорпорации, среди которых научно-производственное предприятие «Полет». Подписание соглашений состоялось в рамках крупнейшей в стране конференции по цифровой экономике «Цифровая индустрия промышленной России».Наиболее ценным ресурсом высокотехнологичных предприятия промышленности сегодня являются квалифицированные научно-технические кадры. Сотрудничество с НОВИКОМом по программе «Развитие» поможет руководству организаций Р

КАПИТАЛ LIFE стала лауреатом премии «AI-Олимп» за трансформацию страхования жизни с использованием ИИ В мае в Москве были подведены итоги премии «AI-Олимп», которая вручается за достижения в области искусственного интеллекта (ИИ) и его интеграцию в бизнес, финансовый рынок, технологии, науку, творчество и повседневную жизнь.Награда объединяет ведущие компании, инновационные стартапы, исследовательские центры, технологических лидеров, которые формируют будущее искусственного интеллекта в России. Экспертный совет премии «AI-Олимп», состоящий из значимых общественных и научных деятелей и представителей бизнеса, определил самые успешные проекты и практики в области внедрения и развития

Все корпоративные новости »

E-mail:
reclama@tpnews.ru
pr2@tpnews.ru

Телефон:
+7 (495) 708-32-81

Медиа-холдинг «Капитал-инфо»

Рождественский бал финансовой, политической и бизнес-элиты.
Ежегодная международная премия в области экономики и финансов имени П.А. Столыпина.
Ежегодная международная евразийская премия «Лидеры туриндустрии».
Евразийская премия в области лизинга в России и Евразии «Россия-Евразия Leasing Awards».

Дизайн, разработка и техническая поддержка сайта – компания Finarty.

Наверх