1. Главная
  2. Новости
  3. Эксперты «Ростелеком-Солар»: около 70% веб-приложений содержат критические уязвимости

Эксперты «Ростелеком-Солар»: около 70% веб-приложений содержат критические уязвимости

A A= A+ 20.05.2020 Новости БД

Компания «Ростелеком-Солар» провела анализ защищенности #веб-приложений, принадлежащих организациям государственного и банковского сектора, сферы производства, информационных технологий, информационной безопасности и других. Около 70% исследованных приложений содержат критические #уязвимости, которые позволяют #киберпреступникам получить доступ к конфиденциальным данным организации и пользователей, а также от имени жертвы совершать в уязвимых онлайн-сервисах различные операции.   

В основу исследования легли данные, полученные экспертами «Ростелеком-Солар» в ходе киберучений, тестирований на проникновение и проектов по анализу защищенности. Всего было проанализировано более 30 веб-приложений, среди которых – интернет-порталы компаний, системы дистанционного банковского обслуживания, CRM и другие. Результаты свидетельствуют о том, что критические и легко эксплуатируемые уязвимости содержатся практически в каждом веб-приложении. Большая часть из них связана с отсутствием фильтрации поступающих данных на стороне веб-сервера, а также с недостатками на уровне бизнес-логики приложений.   

Почти 70% веб-приложений оказались подвержены IDOR-уязвимостям (Insecure direct object references – небезопасные прямые ссылки на объекты). Эксплуатируя их, злоумышленник может методом перебора найти используемые в системе идентификаторы и получить несанкционированный доступ к данным пользователей. Чаще всего эта уязвимость встречается в веб-приложениях со сложной логической структурой, например, в системах дистанционного банковского обслуживания. Успешная эксплуатация IDOR-уязвимости в этом случае может позволить злоумышленнику, например, получить информацию о транзакциях и состоянии счетов пользователей или изменить данные их профилей.   

«Как показывает наша практика, логические уязвимости, например, класса IDOR, встречаются чаще других – причина в том, что уязвимости, связанные с логикой, очень сложно выявить с помощью сканеров кода, – поясняет Александр Колесов, руководитель отдела анализа защищенности «Ростелеком-Солар». – Но они же являются и одними из самых критичных – ведь злоумышленники могут получить доступ к данным других пользователей. В случае с банковскими системами это может быть очень чувствительная информация».   

Более 50% веб-приложений содержат недостатки в фильтрации поступающих на сервер данных, что дает возможность провести атаки типа XSS (Cross-Site Scripting – межсайтовое выполнение сценариев). Такие атаки, позволяют злоумышленнику внедрить в веб-страницу вредоносный JavaScript-код, который будет выполнен в браузере жертвы при открытии страницы. Этот код может взаимодействовать с веб-сервером злоумышленника и передавать туда, например, cookie-файлы пользователя – с их помощью злоумышленник может авторизоваться на интернет-ресурсах под учетными данными жертвы и действовать от ее имени.   

 

  Еще 30% уязвимостей связаны с возможностью внедрения SQL-кода из-за отсутствия или некорректной фильтрации входящих запросов от пользователя. За счет этого злоумышленник может получить контроль над базой данных организации и в том числе доступ к конфиденциальным данным клиентов (например, данным паспорта, кредитной карты, информации о транзакциях и т.п.) и возможность менять их непосредственно на сервере. В определенных случаях злоумышленник может запустить выполнение кода операционной системы и тем самым получить контроль над сервером, что позволит ему в дальнейшем дублировать все данные в свое хранилище. Этот тип уязвимости влечет наиболее серьезные риски утечки данных (в том числе персональных и платежных), а также финансовых и репутационных потерь.    

 

  "Эти уязвимости существуют очень давно – к примеру, уже много лет эксперты предрекают смерть SQL-инъекциям, однако даже в новых приложениях сегодня можно встретить данную уязвимость, – комментирует Александр Колесов, руководитель отдела анализа защищенности «Ростелеком-Солар». – Защита веб-приложений – прежде всего, задача разработчика. Не стоит полностью полагаться на средства защиты – в частности, Web Application Firewall не может обнаружить атаки, направленные на уязвимости в логике работы приложения, например, IDOR. Необходимо уже на этапе создания приложения соблюдать ключевые принципы безопасной разработки: всегда фильтровать поступающие от пользователя данные и проверять права доступа – на уровне Back-end, а не клиентского интерфейса. Кроме того, необходимо периодически проводить анализ защищенности приложения». 

← вернуться назад

Контакты для прессы

Тел./факс: +7 (495) 708-32-81
E-mail: reclama@tpnews.ru

 

Корпоративные новости

Представители АОИП провели в НИУ ВШЭ мастер-класс по привлечению инвестиций Директор Ассоциации операторов инвестиционных платформ (Ассоциации краудфандинга) Кирилл Косминский, директор Инвестиционной платформы PANFILOV Дмитрий Панфилов и соучредитель инвестиционной платформы ИНВЕСТМЕН Николай Солодовников провели для студентов магистерской программы «Финансовые стратегии и аналитика» Национального исследовательского университета «Высшая Школа Экономики» в Перми мастер-класс «Привлечение инвестиций: от стартапов до устойчивого бизнеса».Мастер-класс, прошедший 2 апреля 2025 года в смешанном очном-онлайн формате, является частью подготовки Высшей Школой Экономики в Перм
В рамках форума «Энергопром» прошел деловой завтрак НОВИКОМа Дочерний банк Госкорпорации Ростех провел традиционный деловой завтрак в рамках международного энергетического форума «Энергопром», проходящего в Казани. В мероприятии приняли участие Раис Республики Татарстан Рустам Минниханов, министр энергетики РФ Сергей Цивилев, руководители крупных промышленных предприятий региона, а также делегации дружественных стран Беларуси, Казахстана, Таджикистана, Узбекистана.В своем выступлении Председатель Правления НОВИКОМа Елена Георгиева подчеркнула, что банк уже более 30 лет работает с крупными промышленным предприятиями Татарстана. У финансовой организации п
BSS выиграла премию FINNEXT за цифровизацию государственных инициатив в налоговой сфере Единственное в России промышленное вендорское решение от компании BSS по поддержке налогового режима АУСН отмечено премией за инновации и технологии FINNEXT.Компания BSS, ведущий разработчик решений для цифровой трансформации финансового сектора, стала лауреатом премии FINNEXT в номинации «Цифровизация государственных инициатив» за проект создания уникального IT-решения для поддержки нового налогового режима АУСН («автоматизированная упрощенка»). Премия FINNEXT отмечает проекты, которые формируют будущее финансовой индустрии через инновации и технологии. Награда подтвер
Сбер и СберСтрахование объявили о втором выпуске ЦФА на космические запуски СберСтрахование во второй раз выпускает цифровые финансовые активы (ЦФА) с целью хеджирования своих рисков, связанных с космическими запусками, на платформе цифровых активов Сбера. Приобрести ЦФА в этот раз смогут не только юридические, но и физические лица — квалифицированные инвесторы по ЦФА.Второй выпуск приурочен к пилотируемому запуску транспортного космического корабля «Союз МС-27» к Международной космической станции (МКС). Он запланирован на 8 апреля. СберСтрахование впервые выпустила ЦФА на космические запуски в сентябре 2024 года. Тогда эмиссия составила 2 тыс. ЦФА.
Все корпоративные новости »

E-mail:
reclama@tpnews.ru
pr2@tpnews.ru 

Телефон:
+7 (495) 708-32-81

Медиа-холдинг «Капитал-инфо»

Рождественский бал финансовой, политической и бизнес-элиты.
Ежегодная международная премия в области экономики и финансов имени П.А. Столыпина.
Ежегодная международная евразийская премия «Лидеры туриндустрии».
Евразийская премия в области лизинга в России и Евразии «Россия-Евразия Leasing Awards».

© 2019-2025. ООО «Капитал-инфо». Все права защищены.

   
Дизайн, разработка и техническая поддержка сайта – компания Finarty.