Почти 70% корпоративных веб-приложений уязвимы для хакерских атак
Анализ защищенности веб-приложений госучреждений, банков, производственных компаний и т.д. показал, что около 70% могут пострадать от хакерских атак. В результате киберпреступники получат доступ к конфиденциальным данным организации и пользователей, а также смогут совершать операции от имени жертвы.
Такие данные получили эксперты компании «Ростелеком-Солар» в ходе киберучений, тестирований на проникновение и проектов по анализу защищенности. Всего было проанализировано больше 30 веб-приложений, среди которых интернет-порталы компаний, системы дистанционного банковского обслуживания, CRM и другие.
Почти 70% веб-приложений оказались подвержены IDOR-уязвимостям (Insecuredirectobjectreferences — небезопасные прямые ссылки на объекты) — злоумышленник может методом перебора найти используемые в системе идентификаторы и получить несанкционированный доступ к информации о транзакциях и состоянии счетов пользователей или изменить данные их профилей.
Более 50% веб-приложений дают возможность провести атаки типа XSS (Cross-SiteScripting — межсайтовое выполнение сценариев). Во время такой атаки в веб-страницу внедряется вредоносный Java Script-код, который потом будет выполнен в браузере жертвы при открытии страницы. Этот код перед на веб-сервер злоумышленника, например, cookie-файлы пользователя — с их помощью можно авторизоваться на интернет-ресурсах под учетными данными жертвы и действовать от ее имени.
Еще 30% уязвимостей связаны с возможностью внедрения SQL-кода. Это дает контроль над базой данных организации, в том числе доступ к конфиденциальным данным клиентов (например, данным паспорта, кредитной карты, информации о транзакциях и т.п.) и возможность менять их непосредственно на сервере. Иногда злоумышленник может даже получить контроль над сервером, что позволит дальнейшем дублировать все данные в свое хранилище. Этот тип уязвимости влечет наиболее серьезные риски утечки данных (в том числе персональных и платежных), а также финансовых и репутационных потерь.
Фото Unsplash
При использовании материала гиперссылка на соответствующую страницу портала HR-tv.ru обязательна