- Регистрация
- 22 Фев 2019
- Сообщения
- 1,191
- Баллы
- 0
- Веб-сайт
- opencard.pw
- Общие продажи
- 0$
- Общие покупки
- 0$
Специалисты компании Positive Technologies проанализировали 43 полнофункциональных веб-приложения и оценили их защищенность с точки зрения внешнего атакующего, привилегированного пользователя и ИБ‑специалиста с доступом к исходному коду. По результатам исследования эксперты сделали вывод, что большинство онлайн-продуктов имеют низкий уровень безопасности, а 67% протестированных программ содержат уязвимости с высокой степенью риска.
Как утверждают аналитики, в 18% приложений под угрозой утечки находятся персональные данные пользователей, а 79% допускают похищение отладочной информации, идентификаторов сессий и других служебных сведений. При этом в 2018 году разработчики стали реже раскрывать версию ПО — злоумышленники могут узнать ее лишь в 42% изученных специалистами продуктов. Год назад эту уязвимость выявили в более чем 60% программ.
Анализ веб-приложений, показал, что 83% из них содержат ошибки безопасности, которые можно исправить только внесением изменений в код программы.
Среди проблем, выявленных специалистами, лидирует межсайтовый скриптинг, возможность внедрения стороннего SQL-кодаи загрузка произвольных файлов на сервер. Как отмечают исследователи, на одну проверенную программу в среднем приходится 33 уязвимости, из них шесть — критические.
По мнению авторов отчета, уровень защищенности веб-приложений за последний год снизился. Так, доля систем, чья безопасность оценивается как очень низкая, в 2018-м составила 32% — в два раза больше, чем годом ранее. Защищенность почти четверти продуктов отмечена как слабая, и лишь 31% онлайн-платформ получили рейтинг «выше среднего».
В качестве самых распространенных угроз эксперты назвали атаки на клиентов и утечку важных данных — им подвержено большинство протестированных программ. Особое беспокойство ИБ-специалистов вызывает число систем, через которые злоумышленники могут не только получить полный контроль над приложением, но и перехватить управление сервером. Как отмечают исследователи, такая опасность существует для 19% проверенных продуктов.
Эксперты указывают, что незащищенное веб-приложение может стать точкой входа для киберпреступников и дать возможность для начала полноценной атаки. Как показало другое исследование Positive Technologies, инфраструктура девяти из десяти компаний беззащитна перед взломом и доступна для злоумышленников. Аналитики провели проверки на проникновение в ряде российских и зарубежных организаций и выявили серьезные проблемы, связанные с уязвимостями в онлайн-платформах и неограниченным доступом пользователей к внутренним сетевым ресурсам.