Специалисты компании Positive Technologies проанализировали 43 полнофункциональных веб-приложения и оценили их защищенность с точки зрения внешнего атакующего, привилегированного пользователя и ИБ‑специалиста с доступом к исходному коду. По результатам исследования эксперты сделали вывод, что большинство онлайн-продуктов имеют низкий уровень безопасности, а 67% протестированных программ содержат уязвимости с высокой степенью риска.

Как утверждают аналитики, в 18% приложений под угрозой утечки находятся персональные данные пользователей, а 79% допускают похищение отладочной информации, идентификаторов сессий и других служебных сведений. При этом в 2018 году разработчики стали реже раскрывать версию ПО — злоумышленники могут узнать ее лишь в 42% изученных специалистами продуктов. Год назад эту уязвимость выявили в более чем 60% программ.

Анализ веб-приложений показал, что 83% из них содержат ошибки безопасности, которые можно исправить только внесением изменений в код программы.

Среди проблем, выявленных специалистами, лидируют межсайтовый скриптинг, возможность внедрения стороннего SQL-кода и загрузка произвольных файлов на сервер. Как отмечают исследователи, на одну проверенную программу в среднем приходится 33 уязвимости, из них шесть — критические.

По мнению авторов отчета, уровень защищенности веб-приложений за последний год снизился. Так, доля систем, чья безопасность оценивается как очень низкая, в 2018-м составила 32% — в два раза больше, чем годом ранее. Защищенность почти четверти продуктов отмечена как слабая, и лишь 31% онлайн-платформ получили оценку «выше среднего».

В качестве самых распространенных угроз эксперты назвали атаки на клиентов и утечку важных данных — им подвержено большинство протестированных программ. Особое беспокойство ИБ-специалистов вызывает число систем, через которые злоумышленники могут не только получить полный контроль над приложением, но и перехватить управление сервером. Как отмечают исследователи, такая опасность существует для 19% проверенных продуктов.

Эксперты указывают, что незащищенное веб-приложение может стать точкой входа для киберпреступников и дать возможность для начала полноценной атаки. Как показало другое исследование Positive Technologies, инфраструктура девяти из десяти компаний беззащитна перед взломом и доступна для злоумышленников. Аналитики провели проверки на проникновение в ряде российских и зарубежных организаций и выявили серьезные проблемы, связанные с уязвимостями в онлайн-платформах и неограниченным доступом пользователей к внутренним сетевым ресурсам.

Категории: Аналитика, Уязвимости