Эксперты «Ростелеком-Солар»: около 70% веб-приложений содержат критические уязвимости

A− A= A+ 20.05.2020 Новости БД

Компания «Ростелеком-Солар» провела анализ защищенности #веб-приложений, принадлежащих организациям государственного и банковского сектора, сферы производства, информационных технологий, информационной безопасности и других. Около 70% исследованных приложений содержат критические #уязвимости, которые позволяют #киберпреступникам получить доступ к конфиденциальным данным организации и пользователей, а также от имени жертвы совершать в уязвимых онлайн-сервисах различные операции.

В основу исследования легли данные, полученные экспертами «Ростелеком-Солар» в ходе киберучений, тестирований на проникновение и проектов по анализу защищенности. Всего было проанализировано более 30 веб-приложений, среди которых – интернет-порталы компаний, системы дистанционного банковского обслуживания, CRM и другие. Результаты свидетельствуют о том, что критические и легко эксплуатируемые уязвимости содержатся практически в каждом веб-приложении. Большая часть из них связана с отсутствием фильтрации поступающих данных на стороне веб-сервера, а также с недостатками на уровне бизнес-логики приложений.

Почти 70% веб-приложений оказались подвержены IDOR-уязвимостям (Insecure direct object references – небезопасные прямые ссылки на объекты). Эксплуатируя их, злоумышленник может методом перебора найти используемые в системе идентификаторы и получить несанкционированный доступ к данным пользователей. Чаще всего эта уязвимость встречается в веб-приложениях со сложной логической структурой, например, в системах дистанционного банковского обслуживания. Успешная эксплуатация IDOR-уязвимости в этом случае может позволить злоумышленнику, например, получить информацию о транзакциях и состоянии счетов пользователей или изменить данные их профилей.

«Как показывает наша практика, логические уязвимости, например, класса IDOR, встречаются чаще других – причина в том, что уязвимости, связанные с логикой, очень сложно выявить с помощью сканеров кода, – поясняет Александр Колесов, руководитель отдела анализа защищенности «Ростелеком-Солар». – Но они же являются и одними из самых критичных – ведь злоумышленники могут получить доступ к данным других пользователей. В случае с банковскими системами это может быть очень чувствительная информация».

Более 50% веб-приложений содержат недостатки в фильтрации поступающих на сервер данных, что дает возможность провести атаки типа XSS (Cross-Site Scripting – межсайтовое выполнение сценариев). Такие атаки, позволяют злоумышленнику внедрить в веб-страницу вредоносный JavaScript-код, который будет выполнен в браузере жертвы при открытии страницы. Этот код может взаимодействовать с веб-сервером злоумышленника и передавать туда, например, cookie-файлы пользователя – с их помощью злоумышленник может авторизоваться на интернет-ресурсах под учетными данными жертвы и действовать от ее имени.

Еще 30% уязвимостей связаны с возможностью внедрения SQL-кода из-за отсутствия или некорректной фильтрации входящих запросов от пользователя. За счет этого злоумышленник может получить контроль над базой данных организации и в том числе доступ к конфиденциальным данным клиентов (например, данным паспорта, кредитной карты, информации о транзакциях и т.п.) и возможность менять их непосредственно на сервере. В определенных случаях злоумышленник может запустить выполнение кода операционной системы и тем самым получить контроль над сервером, что позволит ему в дальнейшем дублировать все данные в свое хранилище. Этот тип уязвимости влечет наиболее серьезные риски утечки данных (в том числе персональных и платежных), а также финансовых и репутационных потерь.

"Эти уязвимости существуют очень давно – к примеру, уже много лет эксперты предрекают смерть SQL-инъекциям, однако даже в новых приложениях сегодня можно встретить данную уязвимость, – комментирует Александр Колесов, руководитель отдела анализа защищенности «Ростелеком-Солар». – Защита веб-приложений – прежде всего, задача разработчика. Не стоит полностью полагаться на средства защиты – в частности, Web Application Firewall не может обнаружить атаки, направленные на уязвимости в логике работы приложения, например, IDOR. Необходимо уже на этапе создания приложения соблюдать ключевые принципы безопасной разработки: всегда фильтровать поступающие от пользователя данные и проверять права доступа – на уровне Back-end, а не клиентского интерфейса. Кроме того, необходимо периодически проводить анализ защищенности приложения».

← вернуться назад

Контакты для прессы

Тел./факс: +7 (495) 708-32-81
E-mail: reclama@tpnews.ru

Корпоративные новости

На TNF-2025 НОВИКОМ подтвердил статус надежного партнера промышленности НОВИКОМ (входит в холдинг «РТ-Финанс» — центр компетенций финансовых услуг Госкорпорации Ростех) представил инструменты поддержки промышленных предприятий на конференции, прошедшей в рамках Промышленно-энергетического форума TNF-2025 в Тюмени. Дискуссионная сессия была организована банком совместно с Ассоциацией «Нефтегазовый кластер».Эксперты банка, активно работающего с предприятиями промышленности, поделились опытом реализации программ льготного финансирования совместно с региональными фондами. Помимо этого, они рассказали о перспективах развития мер господдержки в контексте новых националь

Новые модули платформы ДБО от BSS радикально усилили защиту от кибермошенничества С 1 сентября начали действовать новые требования Банка России, направленные на противодействие мошенничеству. В целях реализации этих требований в системе ДБО от BSS для розничных клиентов внедрены 4 новых модуля защиты от киберпреступников, в том числе сервис «вторая рука».С 1 сентября 2025 года вступил в силу комплекс мер по защите граждан от финансового мошенничества, инициированный Банком России и Минцифры РФ. В их числе — сервис «вторая рука», позволяющий клиентам назначать доверенное лицо для подтверждения своих финансовых операций. Компания BSS всегда уделяла особое вн

Первичная ипотека в НОВИКОМе признана самой выгодной среди топ-50 банков России Ипотечная программа «Первичный рынок» банка НОВИКОМ (входит в холдинг «РТ-Финанс» — центр компетенций финансовых услуг Госкорпорации Ростех) возглавила рейтинг наиболее выгодных предложений на первичном рынке жилья в августе 2025 года. В исследовании федерального финансового маркетплейса «Выберу.ру» участвовали организации из топ-50 по размеру розничного кредитного портфеля.При составлении рейтинга эксперты «Выберу.ру» учитывали такие ключевые показатели, как величина процентной ставки, размер первоначального взноса, сумма ежемесячных платежей и полная стоимость кредита. В расчет т

КАПИТАЛ LIFE подтвердила наивысший рейтинг качества клиентского сервиса от аналитического центра «БизнесДром» в 2025 году Страховая компания КАПИТАЛ LIFE (ООО «Капитал Лайф Страхование Жизни») подтвердила оценку «Знак качества» аналитического центра «БизнесДром» на уровне А1 – «наивысший уровень качества услуг». Ранее у компании действовала оценка А1 от 20.08.2024 г.Анализ показал высокий уровень обслуживания действующих и потенциальных клиентов. В ходе проверок, проведённых в формате «Тайный покупатель», клиенты были удовлетворены консультациями по телефону и в офисах, отметив активность и приветливость сотрудников, а также готовность помогать и давать рекомендации. Проверяющие сообщили о высоком

Все корпоративные новости »

E-mail:
reclama@tpnews.ru
pr2@tpnews.ru

Телефон:
+7 (495) 708-32-81

Медиа-холдинг «Капитал-инфо»

Рождественский бал финансовой, политической и бизнес-элиты.
Ежегодная международная премия в области экономики и финансов имени П.А. Столыпина.
Ежегодная международная евразийская премия «Лидеры туриндустрии».
Евразийская премия в области лизинга в России и Евразии «Россия-Евразия Leasing Awards».

Дизайн, разработка и техническая поддержка сайта – компания Finarty.

Наверх