Эксперты «Ростелеком-Солар»: около 70% веб-приложений содержат критические уязвимости

A− A= A+ 20.05.2020 Новости БД

Компания «Ростелеком-Солар» провела анализ защищенности #веб-приложений, принадлежащих организациям государственного и банковского сектора, сферы производства, информационных технологий, информационной безопасности и других. Около 70% исследованных приложений содержат критические #уязвимости, которые позволяют #киберпреступникам получить доступ к конфиденциальным данным организации и пользователей, а также от имени жертвы совершать в уязвимых онлайн-сервисах различные операции.

В основу исследования легли данные, полученные экспертами «Ростелеком-Солар» в ходе киберучений, тестирований на проникновение и проектов по анализу защищенности. Всего было проанализировано более 30 веб-приложений, среди которых – интернет-порталы компаний, системы дистанционного банковского обслуживания, CRM и другие. Результаты свидетельствуют о том, что критические и легко эксплуатируемые уязвимости содержатся практически в каждом веб-приложении. Большая часть из них связана с отсутствием фильтрации поступающих данных на стороне веб-сервера, а также с недостатками на уровне бизнес-логики приложений.

Почти 70% веб-приложений оказались подвержены IDOR-уязвимостям (Insecure direct object references – небезопасные прямые ссылки на объекты). Эксплуатируя их, злоумышленник может методом перебора найти используемые в системе идентификаторы и получить несанкционированный доступ к данным пользователей. Чаще всего эта уязвимость встречается в веб-приложениях со сложной логической структурой, например, в системах дистанционного банковского обслуживания. Успешная эксплуатация IDOR-уязвимости в этом случае может позволить злоумышленнику, например, получить информацию о транзакциях и состоянии счетов пользователей или изменить данные их профилей.

«Как показывает наша практика, логические уязвимости, например, класса IDOR, встречаются чаще других – причина в том, что уязвимости, связанные с логикой, очень сложно выявить с помощью сканеров кода, – поясняет Александр Колесов, руководитель отдела анализа защищенности «Ростелеком-Солар». – Но они же являются и одними из самых критичных – ведь злоумышленники могут получить доступ к данным других пользователей. В случае с банковскими системами это может быть очень чувствительная информация».

Более 50% веб-приложений содержат недостатки в фильтрации поступающих на сервер данных, что дает возможность провести атаки типа XSS (Cross-Site Scripting – межсайтовое выполнение сценариев). Такие атаки, позволяют злоумышленнику внедрить в веб-страницу вредоносный JavaScript-код, который будет выполнен в браузере жертвы при открытии страницы. Этот код может взаимодействовать с веб-сервером злоумышленника и передавать туда, например, cookie-файлы пользователя – с их помощью злоумышленник может авторизоваться на интернет-ресурсах под учетными данными жертвы и действовать от ее имени.

Еще 30% уязвимостей связаны с возможностью внедрения SQL-кода из-за отсутствия или некорректной фильтрации входящих запросов от пользователя. За счет этого злоумышленник может получить контроль над базой данных организации и в том числе доступ к конфиденциальным данным клиентов (например, данным паспорта, кредитной карты, информации о транзакциях и т.п.) и возможность менять их непосредственно на сервере. В определенных случаях злоумышленник может запустить выполнение кода операционной системы и тем самым получить контроль над сервером, что позволит ему в дальнейшем дублировать все данные в свое хранилище. Этот тип уязвимости влечет наиболее серьезные риски утечки данных (в том числе персональных и платежных), а также финансовых и репутационных потерь.

"Эти уязвимости существуют очень давно – к примеру, уже много лет эксперты предрекают смерть SQL-инъекциям, однако даже в новых приложениях сегодня можно встретить данную уязвимость, – комментирует Александр Колесов, руководитель отдела анализа защищенности «Ростелеком-Солар». – Защита веб-приложений – прежде всего, задача разработчика. Не стоит полностью полагаться на средства защиты – в частности, Web Application Firewall не может обнаружить атаки, направленные на уязвимости в логике работы приложения, например, IDOR. Необходимо уже на этапе создания приложения соблюдать ключевые принципы безопасной разработки: всегда фильтровать поступающие от пользователя данные и проверять права доступа – на уровне Back-end, а не клиентского интерфейса. Кроме того, необходимо периодически проводить анализ защищенности приложения».

← вернуться назад

Контакты для прессы

Тел./факс: +7 (495) 708-32-81
E-mail: reclama@tpnews.ru

Корпоративные новости

СК «Гайде» обеспечила страховой защитой транспорт «Севастопольского административно-коммунального хозяйства» Договор страхования каско включает в себя риски ДТП, пожара, угона и хищения, стихийных бедствий, а также противоправных действий третьих лиц.Государственное бюджетное учреждение города Севастополя «Севастопольское административно-коммунальное хозяйство» образовано в 2014 году и входит в состав Правительства города Севастополь. АО «СК ГАЙДЕ» — это российская страховая компания, основанная в Санкт-Петербурге в феврале 1993 года и предоставляющая широкий спектр страховых услуг для частных лиц и корпоративных клиентов. Компания специализируется на страховании

НОВИКОМ и Южно-Уральская ТПП провели конференцию по вопросам промышленной кооперации Дочерний банк Госкорпорации Ростех совместно с Южно-Уральской Торгово-промышленной палатой (ЮУТПП) провел конференцию «Промышленная кооперация МСП и ОПК. Актуальные меры поддержки предприятий МСП Челябинской области». Перед руководителями предприятий малого и среднего бизнеса региона выступили представители НОВИКОМа, ЮУТПП, Госкорпорации Ростех и Фонда развития промышленности (ФРП) Челябинской области.В условиях ужесточения денежно-кредитной политики предприятиям становится все сложнее привлекать доступное финансирование, необходимое для развития инвестиционных проектов, расширения производств

ВБРР запустил единый формат дистанционного сервиса для розничных клиентов на базе решения uRetail от BSS Банк «ВБРР» (АО) продолжает совершенствовать дистанционные каналы обслуживания клиентов. Новая фронтальная версия системы дистанционного банковского обслуживания (ДБО) физических лиц uRetail представляет собой передовой современный стандарт и полностью соответствует требованиям UX/UI.ВБРР представил масштабное обновление системы ДБО для частных клиентов с использованием единого подхода к дизайну и функциональности мобильного приложения и интернет-банка и акцентом на реализации простого и интуитивно-понятного клиентского пути. Важной частью модернизации дистанционных каналов стала раз

НОВИКОМ провел в Ульяновске круглый стол для предприятий-партнеров Представители банка Ростеха провели круглый стол, на котором встретились с руководителями предприятий-партнеров и застройщиков Ульяновска. На площадке региональной Торгово-промышленной палаты эксперты обсудили перспективы рынка недвижимости и подчеркнули преимущества ипотечных продуктов НОВИКОМа.В условиях роста цен бизнес особенно заинтересован в том, чтобы обеспечить своих сотрудников доступным жильем. НОВИКОМ познакомил партнеров с выгодными ипотечными продуктами банка, которые позволяют оформлять кредиты по ставкам ниже рыночных. Экспертам также была представлена программа «Развит

Все корпоративные новости »

E-mail:
reclama@tpnews.ru
pr2@tpnews.ru

Телефон:
+7 (495) 708-32-81

Медиа-холдинг «Капитал-инфо»

Рождественский бал финансовой, политической и бизнес-элиты.
Ежегодная международная премия в области экономики и финансов имени П.А. Столыпина.
Ежегодная международная евразийская премия «Лидеры туриндустрии».
Евразийская премия в области лизинга в России и Евразии «Россия-Евразия Leasing Awards».

Дизайн, разработка и техническая поддержка сайта – компания Finarty.

Наверх