Почти 80% приложений могут выдавать хакерам данные пользователей — Take-profit.org

Специалисты Positive Technologies подготовили статистику уязвимостей, обнаруженных в ходе проведения работ по тестированию безопасности веб-приложений в 2018 г. 

Исследование показало, что в среднем на одно веб-приложение приходится 33 уязвимости, шесть из которых имеют высокий уровень риска.

Доля приложений с критически опасными ошибками безопасности сегодня составляет 67%.

Число критически опасных уязвимостей, которое в среднем приходится на одно веб-приложение, по сравнению с 2017 г. выросло в три раза.

Среди них наиболее распространены уязвимости, связанные с недостаточной авторизацией, возможностью загрузки или чтения произвольных файлов, а также с возможностью внедрения SQL-кода. 

Также высока доля веб-приложений с уязвимостями «Межсайтовое выполнение сценариев» (Cross-Site Scripting, XSS). В четырех из каждых пяти веб-приложений отмечены ошибки конфигурации.

В 19% веб-приложений есть уязвимости, позволяющие злоумышленнику получить контроль как над самим приложением, так и над ОС сервера.

Если сервер находится на периметре сети организации, злоумышленник может проникнуть во внутреннюю сеть компании.

Как показывают результаты нашего исследования уязвимостей корпоративных информационных систем, 75% векторов проникновения в ЛВС связаны с недостатками защиты веб-приложений. В большинстве случаев веб-приложения уязвимы из-за ошибок в коде.

Изменениями в конфигурации могут быть устранены только 17% уязвимостей, причем большинство из них имеют низкий уровень риска.

Для устранения критически опасных уязвимостей, как правило, потребуется внести исправления в код. Каждая вторая утечка может привести к разглашению учетных данных, в том числе для доступа к сторонним ресурсам. 

В качестве примера можно привести доступные всем пользователям конфигурационные файлы с хранящимися в них паролями. Злоумышленник может похитить персональные данные пользователей в 18% веб-приложений, где осуществляется их обработка.

При этом важно отметить, что персональные данные хранятся и обрабатываются почти в каждом исследованном нами веб-приложении (91%). В среднем на одно веб-приложение приходится 33 уязвимости, шесть из которых имеют высокий уровень риска. Число критически опасных уязвимостей, которое приходится на одно веб-приложение, по сравнению с 2017 г. выросло в 3 раза. 

Продуктивные системы содержат меньше уязвимостей, чем тестовые, но это не делает их более защищенными.

Доля продуктивных систем, содержащих хотя бы одну уязвимость высокого уровня риска, больше, чем тестовых. Как показывает практика, для успешного взлома веб-приложения часто достаточно одной критически опасной уязвимости.

«Для обеспечения безопасности веб-приложений необходимо проводить анализ их защищенности, — говорит аналитик Positive Technologies Яна Авезова. —

Тестирование методом белого ящика (с известным исходным кодом) позволяет выявить и в дальнейшем устранить уязвимости, не дожидаясь кибератаки.

При этом для исправления 83% уязвимостей, включая большинство критически опасных, необходимо внести изменения в программный код.

Для снижения риска нарушения бизнес-процессов в период подготовки нового релиза приложения мы рекомендуем использовать специализированные решения, в частности межсетевые экраны уровня приложений (web application firewalls, WAF)».

vestifinance.ru

Источник: take-profit.org

Вы можете оставить комментарий, или ссылку на Ваш сайт.

Оставить комментарий

Вы должны быть авторизованы, чтобы разместить комментарий.