Positive Technologies: веб-приложения банков наиболее уязвимы

Специалисты Positive Technologies подготовили статистику по уязвимостям веб-приложений, которые были исследованы в рамках работ по автоматизированному анализу защищенности с применением PT Application Inspector в 2017 году.

По результатам автоматизированного анализа исходного кода было установлено, что все веб-приложения имеют уязвимости, причем всего лишь в 6% исследованных систем отсутствуют уязвимости высокой степени риска.

Наибольшему риску, как и следовало ожидать, подвержен финансовый сектор (его доля составляет 46% от общего количества исследованных веб-приложений). Во всех приложениях банков и других финансовых организаций были найдены уязвимости высокой степени риска.

Финансовые, а также государственные организации, отмечают эксперты Positive Technologies, наиболее заинтересованы в анализе исходного кода, так как их веб-ресурсы являются приоритетными целями для злоумышленников, что подтверждается регулярными аналитическими отчетами компании.

Автоматизированный анализ защищенности с применением PT AI показал, что все протестированные веб-приложения содержат уязвимости различной степени риска. При классификации уязвимостей по степени риска было установлено, что большая их часть (65%) относится к среднему уровню опасности, 27% — к высокому.

Самой распространенной уязвимостью, выявляемой при автоматизированном анализе исходного кода приложений, является «Межсайтовое выполнение сценариев», с помощью которой злоумышленник может проводить фишинговые атаки на клиентов веб-приложения или заражать их рабочие станции вредоносным программным обеспечением (встречается в 82% протестированных систем).

На основании анализа последствий от эксплуатации выявленных в веб-приложениях уязвимостей специалисты Positive Technologies составили рейтинг угроз безопасности. Самая распространенная угроза — это возможность проведения атак на пользователей веб-приложения (ей подвержены 87% банков и все без исключения государственные учреждения).

При этом важно отметить, что большинство пользователей таких веб-ресурсов очень плохо осведомлены в вопросах информационной безопасности и легко могут стать жертвами злоумышленников. Кроме того, среди веб-ресурсов госучреждений распространены и другие критически опасные уязвимости. Например, при исследовании веб-приложения администрации одного из муниципальных образований была обнаружена уязвимость высокой степени риска «Внедрение SQL-кода», с помощью эксплуатации которой возможно получить чувствительную информацию из базы данных.

Уязвимости, проводящие к отказу в обслуживании, представляют наибольшую проблему для интернет-магазинов, так как сбой в работе веб-приложения для организации, занимающейся электронной торговлей, напрямую связан с финансовыми потерями. Кроме того, чем популярнее интернет-магазин, тем больше клиентов посещают его каждый день и тем вероятней, что злоумышленник попытается использовать уязвимости данного веб-ресурса для атак на его пользователей.

«Веб-приложения являются одной из основных мишеней для злоумышленников, потому что большое число неисправленных уязвимостей и простота их эксплуатации помогают атакующим успешно достигать своих целей — от кражи чувствительной информации до доступа к внутренним ресурсам локальной вычислительной сети, — говорит аналитик Positive Technologies Анастасия Гришина. — Важно понимать, что большинство уязвимостей можно выявить задолго до атаки, а анализ исходного кода веб-приложений позволяет обнаружить в несколько раз больше критически опасных уязвимостей, чем тестирование систем без исследования кода».

Хотите быть в курсе последних событий?
Следите за нашими новостями в социальных сетях
Популярное
Acronis представил Acronis Backup 12.5 Advanced

Компания Acronis - мировой лидер в сфере защиты и хранения данных, представляет долгожданный выпуск Acronis Backup 12.5 Advanced.

В данном решении был обновлен функционал, а также добавлены новые эксклюзивные технологии Acronis Active Protection и Acronis Notary.

Подробнее
13.09.2017 09:00:00
Axoft стал единственным дистрибутором Kerio в странах СНГ
Компания Axoft, сервисный IT-дистрибутор, стала единственным дистрибутором Kerio в странах СНГ. В новом статусе Axoft сконцентрируется на повышении узнаваемости Kerio в регионе присутствия среди пользователей, а также решении технических вопросов, возникающих при внедрении и эксплуатации продуктов производителя.
Подробнее
17.09.2017
Последние новости
Axoft — первый дистрибутор CommuniGate Systems со статусом «Сервисный Партнер»
Глобальный сервисный IT-дистрибутор Axoft получил статус «Сервисного Партнера» CommuniGate Systems. Теперь Axoft может оказывать партнерам и их клиентам сертифицированную техническую поддержку 1-ой и 2-ой линии, проводить пилотные проекты и промышленные внедрения платформы унифицированных коммуникаций CommuniGate Pro.
Подробнее
17.12.2020