СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Новости
Артем
19.05.2020
#Dev#ИБ#Инфра

«Ростелеком-Солар»: три их четырех веб-приложений имеют критические уязвимости

Лаборатория кибербезопасности «Ростелеком-Солар» проанализировала уровень защиты приложений, которые используются федеральными, производственными, финансовыми организациями и IT-компаниями. В результате исследований был сделан вывод, что почти 70% изученных приложений имеют критические уязвимости, поэтому могут стать легкой добычей для киберпреступников.

Анализу подверглись различные виды веб-приложений: CRM, системы обслуживания банков, интернет-порталы. По результатам исследований специалистов «Ростелеком-Солар» было обнаружено, что почти каждое приложение имеет уязвимости, а в 70% из них есть IDOR-уязвимости. При их эксплуатации киберпреступники с помощью обычного перебора способны найти идентификационные данные, что позволит им получить полный доступ к защищенной пользовательской информации.

Александр Колесов, руководитель исследования и сотрудник «Ростелеком-Солар» отмечает: «IDOR-уязвимости встречаются чаще всего, потому что их сложно найти с использованием сканеров кода, при этом они считаются наиболее критичным, потому что при их эксплуатации киберпреступники получают доступ к пользовательской информации. И если такая уязвимость есть в приложении банковского сектора, то это очень большая проблема».

По результатам исследования «Ростелеком-Солар» также было обнаружено, около половины изученных приложений также имеют недостатки фильтрации информации, поступающей на сервер. За счет этого со стороны злоумышленников могут быть проведены XSS-атаки, благодаря чему становится возможным внедрение вредоносного кода, который будет выполняться на устройстве жертвы. Он позволит передавать куки-файлы пользователя, что позволит киберпреступнику входить под аккаунтом жертвы на любые интернет-порталы.

В 30% исследованных приложений были найдены уязвимости, связанных с возможностью внедрения SQL-кода по причине неправильной фильтрации запросов от пользователей или полного ее отсутствия. Благодаря этому киберпреступники начинают контролировать базу данных компании, имеют доступ к просмотру и изменению конфиденциальной информации, содержащейся на сервере.

Александр Колесов рекомендовал разработчикам систематически анализировать защищенность веб-приложений, не полагаться на стандартные защитные средства, реализовывать принципы безопасной разработки на стадии создания приложения, организовывать фильтрацию пользовательских данных и следить за качеством проверки прав доступа.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: