Эксперты «Ростелеком-Солар»: около 70% веб-приложений содержат критические уязвимости

A A= A+ 20.05.2020 Новости БД

Компания «Ростелеком-Солар» провела анализ защищенности #веб-приложений, принадлежащих организациям государственного и банковского сектора, сферы производства, информационных технологий, информационной безопасности и других. Около 70% исследованных приложений содержат критические #уязвимости, которые позволяют #киберпреступникам получить доступ к конфиденциальным данным организации и пользователей, а также от имени жертвы совершать в уязвимых онлайн-сервисах различные операции.   

В основу исследования легли данные, полученные экспертами «Ростелеком-Солар» в ходе киберучений, тестирований на проникновение и проектов по анализу защищенности. Всего было проанализировано более 30 веб-приложений, среди которых – интернет-порталы компаний, системы дистанционного банковского обслуживания, CRM и другие. Результаты свидетельствуют о том, что критические и легко эксплуатируемые уязвимости содержатся практически в каждом веб-приложении. Большая часть из них связана с отсутствием фильтрации поступающих данных на стороне веб-сервера, а также с недостатками на уровне бизнес-логики приложений.   

Почти 70% веб-приложений оказались подвержены IDOR-уязвимостям (Insecure direct object references – небезопасные прямые ссылки на объекты). Эксплуатируя их, злоумышленник может методом перебора найти используемые в системе идентификаторы и получить несанкционированный доступ к данным пользователей. Чаще всего эта уязвимость встречается в веб-приложениях со сложной логической структурой, например, в системах дистанционного банковского обслуживания. Успешная эксплуатация IDOR-уязвимости в этом случае может позволить злоумышленнику, например, получить информацию о транзакциях и состоянии счетов пользователей или изменить данные их профилей.   

«Как показывает наша практика, логические уязвимости, например, класса IDOR, встречаются чаще других – причина в том, что уязвимости, связанные с логикой, очень сложно выявить с помощью сканеров кода, – поясняет Александр Колесов, руководитель отдела анализа защищенности «Ростелеком-Солар». – Но они же являются и одними из самых критичных – ведь злоумышленники могут получить доступ к данным других пользователей. В случае с банковскими системами это может быть очень чувствительная информация».   

Более 50% веб-приложений содержат недостатки в фильтрации поступающих на сервер данных, что дает возможность провести атаки типа XSS (Cross-Site Scripting – межсайтовое выполнение сценариев). Такие атаки, позволяют злоумышленнику внедрить в веб-страницу вредоносный JavaScript-код, который будет выполнен в браузере жертвы при открытии страницы. Этот код может взаимодействовать с веб-сервером злоумышленника и передавать туда, например, cookie-файлы пользователя – с их помощью злоумышленник может авторизоваться на интернет-ресурсах под учетными данными жертвы и действовать от ее имени.   

 

  Еще 30% уязвимостей связаны с возможностью внедрения SQL-кода из-за отсутствия или некорректной фильтрации входящих запросов от пользователя. За счет этого злоумышленник может получить контроль над базой данных организации и в том числе доступ к конфиденциальным данным клиентов (например, данным паспорта, кредитной карты, информации о транзакциях и т.п.) и возможность менять их непосредственно на сервере. В определенных случаях злоумышленник может запустить выполнение кода операционной системы и тем самым получить контроль над сервером, что позволит ему в дальнейшем дублировать все данные в свое хранилище. Этот тип уязвимости влечет наиболее серьезные риски утечки данных (в том числе персональных и платежных), а также финансовых и репутационных потерь.    

 

  "Эти уязвимости существуют очень давно – к примеру, уже много лет эксперты предрекают смерть SQL-инъекциям, однако даже в новых приложениях сегодня можно встретить данную уязвимость, – комментирует Александр Колесов, руководитель отдела анализа защищенности «Ростелеком-Солар». – Защита веб-приложений – прежде всего, задача разработчика. Не стоит полностью полагаться на средства защиты – в частности, Web Application Firewall не может обнаружить атаки, направленные на уязвимости в логике работы приложения, например, IDOR. Необходимо уже на этапе создания приложения соблюдать ключевые принципы безопасной разработки: всегда фильтровать поступающие от пользователя данные и проверять права доступа – на уровне Back-end, а не клиентского интерфейса. Кроме того, необходимо периодически проводить анализ защищенности приложения». 

Контакты для прессы

Тел./факс: +7 (495) 708-32-81
E-mail: reclama@tpnews.ru

 

Корпоративные новости

Кешбэк от НОВИКОМа стал еще выгоднее Банк НОВИКОМ (входит в холдинг «РТ-Финанс» — центр компетенций финансовых услуг Госкорпорации Ростех) объявил о значительном повышении уровня кешбэка для своих клиентов. С 1 сентября до 31 октября 2025 года зарплатные клиенты банка могут рассчитывать на существенный возврат за привычные расходы. Максимальный размер ежемесячного кешбэка вырос до 7 000 рублей.Помимо традиционного возврата 10% за оплату коммунальных услуг и 5% за покупки в супермаркетах, клиентам доступны новые опции. Предложения охватывают основные аспекты жизни, позволяя увеличить сумму ежемесячной выплаты. Заявленные катего
НОВИКОМ и лидеры транспортного машиностроения развивают сотрудничество НОВИКОМ (входит в холдинг «РТ-Финанс» — центр компетенций финансовых услуг Госкорпорации Ростех) системно наращивает сотрудничество с ведущими предприятиями транспортного машиностроения. Важным этапом этой работы для банка стало участие в международном железнодорожном салоне «PRO//Движение. Экспо», который прошел в Санкт-Петербурге.В рамках деловой программы выставки заместитель Председателя Правления Алексей Кузнецов и старший вице-президент банка Саид Аминов провели рабочие встречи с руководством АО «ТМХ городской транспорт», АО «Метровагонмаш» (входят в ТМХ) и А
НОВИКОМ организовал выпуск ЦФА для ГТЛК на 3,3 млрд руб. НОВИКОМ (входит в холдинг «РТ-Финанс» - центр компетенций финансовых услуг Госкорпорации Ростех) выступил организатором выпуска цифровых финансовых активов (ЦФА) Государственной транспортной лизинговой компании (ГТЛК). Объем выпуска составил 3,3 млрд рублей.Ставка процентного дохода определена на уровне ключевой ставки Банка России плюс 2,5% годовых с ежемесячной выплатой дохода. Срок обращения – 2 года, дата погашения – 17 августа 2027 года. Вторичное обращение выпуска разрешено начиная со дня, следующего за днем размещения. Размещение прошло на платформе АКБ &
Как копят зумеры и миллениалы: исследование КАПИТАЛ LIFE Ко Дню знаний страховая компания КАПИТАЛ LIFE (ООО «Капитал Лайф Страхование Жизни») изучила портфель 654 тыс. договоров накопительного страхования жизни (НСЖ) и выяснила, как копят представители разных поколений, включая молодёжь: зумеров (поколение Z, 2000–2011 г.р.) и миллениалов (поколение Y, 1984–2000 г.р.).Как показало исследование, доля молодых поколений – зумеров и миллениалов – составляет 22% среди всех клиентов по программам НСЖ. Интересно, что доля мужчин в общем количестве застрахованных по НСЖ зумеров достигает 46%, в то время как по другим поколениям эта доля чуть бол
Все корпоративные новости »