+7 495 980 0770

Веб-приложения под ударом

Око­ло 70% при­ложе­ний со­дер­жат кри­тичес­кие у­яз­ви­мос­ти, ко­торые поз­во­ля­ют ки­бер­прес­тупни­кам по­лучить дос­туп к кон­фи­ден­ци­аль­ным дан­ным ор­га­низа­ций и поль­зо­вате­лей, а так­же от име­ни жер­твы со­вер­шать в у­яз­ви­мых он­лайн-сер­ви­сах раз­личные опе­рации.

Таковы результаты анализа защищенности веб-приложений, принадлежащих организациям государственного и банковского сектора, сферы производства, информационных технологий, информационной безопасности и др., который провела компания "Ростелеком-Солар".

"Ростелеком-Солар" проанализировало более 30 веб-приложений в ходе киберучений, тестирований на проникновение и проектов по анализу защищенности. Среди выбранных для анализа приложений - интернет-порталы компаний, системы дистанционного банковского обслуживания, CRM и др. Результаты исследования подтверждают, что критические и легко эксплуатируемые уязвимости содержат практически все анализируемые веб-приложения. Большая часть из них связана с отсутствием фильтрации поступающих данных на стороне веб-сервера, а также с недостатками на уровне бизнес-логики приложений.

Почти 70% веб-приложений оказались подвержены IDOR-уязвимостям (Insecure direct object references - небезопасные прямые ссылки на объекты). Эксплуатируя их, злоумышленник может методом перебора найти используемые в системе идентификаторы и получить несанкционированный доступ к данным пользователей. Чаще всего эта уязвимость встречается в веб-приложениях со сложной логической структурой - например, в системах дистанционного банковского обслуживания. Благодаря IDOR-уязвимостям киберпреступники получают информацию о транзакциях и состоянии счетов пользователей, а также могут изменить данные их профилей.

Более 50% веб-приложений содержат недостатки в фильтрации поступающих на сервер данных, что дает возможность провести атаки типа XSS (Cross-Site Scripting - межсайтовое выполнение сценариев). Данные атаки, позволяют киберпреступнику внедрить в веб-страницу вредоносный JavaScript-код, который запустится в браузере жертвы при открытии страницы. Данный код, взаимодействуя с веб-сервером мошенников, может передавать cookie-файлы пользователя, в результате чего киберпреступник сможет авторизоваться на интернет-ресурсах под учетными данными жертвы и действовать от ее имени.

Еще 30% уязвимостей связаны с возможностью внедрения SQL-кода из-за отсутствия или некорректной фильтрации входящих запросов от пользователя. Таким образом мошенники получают контроль над базой данных организации и в том числе доступ к конфиденциальным данным клиентов (например, данным паспорта, кредитной карты, информации о транзакциях и т.п.), а также возможность менять их непосредственно на сервере.

[...]

"Уязвимость типа IDOR не случайно входит в топ-10 OWASP. В наше время заявлять о полной безопасности какого-либо продукта на рынке крайне рискованно: на мой взгляд, в условиях современного рынка невозможно "вывести" продукт, который был бы полностью "секъюрным". На сегодняшний день высокая вероятность подобного рода уязвимостей связана с нехваткой кадров: нам нужны люди, которые встанут на стыке между ИБ и разработчиками", - считает директор департамента информационной безопасности Oberon Андрей Головин.

[...]

"Похищение корпоративных или личных данных для дальнейшего шантажа и других преступных действий - одна из наиболее частых целей кибератак", - предостерегает пользователей директор департамента информационной безопасности Oberon Андрей Головин. Он отмечает, что в последние месяцы значительно участились случаи атак на медучреждения, и напоминает об инциденте, произошедшем 22 марта, когда кибератаке подверглись данные одной из крупнейших сетей больниц в Европе Assistance publique - Hôpitaux de Paris. Ранее также подверглась атаке университетская больница города Брно в Чехии. В результате инцидента администрация учреждения была вынуждена отключить серверы и приостановить исследования. "Помимо очевидного общественного вреда из-за прекращения исследований, злоумышленники также могут похитить данные пациентов и использовать их для шантажа или продажи", - сообщает Андрей Головин.

[...]

Подробнее в материале