Рейтинг@Mail.ru
Около 70% корпоративных веб-приложений в России имеют опасные уязвимости - 18.05.2020, ПРАЙМ
Регистрация пройдена успешно!
Пожалуйста, перейдите по ссылке из письма, отправленного на

Около 70% корпоративных веб-приложений в России имеют опасные уязвимости

© fotolia.com / knee0%Защита информации
%Защита информации
Читать Прайм в
Дзен Telegram

МОСКВА, 18 мая — ПРАЙМ. Около 70% веб-приложений, принадлежащих организациям государственного и банковского сектора, сфер производства и информационных технологий содержат критические уязвимости, через которые злоумышленники могут получить доступ к данным пользователей и самих компаний, говорится в исследовании компании "Ростелеком-Солар".

В рамках исследования эксперты проанализировали защищенность веб-приложений, принадлежащих организациям государственного и банковского сектора, сферы производства, информационных технологий, информационной безопасности и других. Всего было проанализировано более 30 веб-приложений, среди которых, в частности, интернет-порталы компаний, системы дистанционного банковского обслуживания, CRM.

"Около 70% исследованных приложений содержат критические уязвимости, которые позволяют киберпреступникам получить доступ к конфиденциальным данным организации и пользователей, а также от имени жертвы совершать в уязвимых онлайн-сервисах различные операции… Критические и легко эксплуатируемые уязвимости содержатся практически в каждом веб-приложении. Большая часть из них связана с отсутствием фильтрации поступающих данных на стороне веб-сервера, а также с недостатками на уровне бизнес-логики приложений", — говорится в документе.

Так, почти у 70% веб-приложений есть "небезопасные прямые ссылки на объекты" (IDOR), через которые злоумышленник может получить несанкционированный доступ к данным пользователей. "Чаще всего эта уязвимость встречается в веб-приложениях со сложной логической структурой, например, в системах дистанционного банковского обслуживания. Успешная эксплуатация IDOR-уязвимости в этом случае может позволить злоумышленнику, например, получить информацию о транзакциях и состоянии счетов пользователей или изменить данные их профилей", — указывают эксперты.

У более чем 50% веб-приложений — проблемы в фильтрации поступающих на сервер данных, что дает возможность провести атаки типа XSS (Cross-Site Scripting – межсайтовое выполнение сценариев). Такие атаки позволяют злоумышленнику внедрить в веб-страницу вредоносный код Java Script, который будет передавать ему файлы cookie пользователя. С помощью полученных данных злоумышленник может авторизоваться на ресурсах в интернете под учетными данными жертвы и действовать от ее имени.

Наконец, 30% уязвимостей связаны с возможностью внедрения SQL-кода, что позволяет злоумышленнику получить контроль над базой данных организации, доступ к конфиденциальным данным клиентов (например, данным паспорта, кредитной карты, информации о платёжных операциях) и возможность менять их непосредственно на сервере. Этот тип уязвимости влечет за собой серьезные риски утечки данных (в том числе персональных и платежных), а также финансовых и репутационных потерь, подчёркивается в документе.

 
 
 
Лента новостей
0
Сначала новыеСначала старые
loader
Онлайн
Заголовок открываемого материала
Чтобы участвовать в дискуссии,
авторизуйтесь или зарегистрируйтесь
loader
Чаты
Заголовок открываемого материала