СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Артем
17.03.2024
#Уязвимости #Dev#ИБ#Инфра

ТОР10 уязвимостей в веб-приложениях в 2021–2023 годах

ТОР10 уязвимостей в веб-приложениях в 20212023 годах

«Лаборатория Касперского» представила новый отчёт, посвящённый десяти наиболее распространённым уязвимостям в веб-приложениях за период с 2021 по 2023 год. Исследование проводилось с учётом приложений, которые использовались преимущественно российскими, китайскими и ближневосточными организациями.

В отчёте отмечается, что около 44% исследуемых веб-приложений были написаны на языке Java, на втором и третьих местах находятся NodeJS (17%) и PHP (12%). При этом около 39% проанализированных приложений использовали микросервисную архитектуру.

Информация для исследования была получена аналитиками «Лаборатории Касперского» за счёт анализа web-приложений тремя методами: белого, серого и чёрного ящика. Практически все исследуемые веб-приложения, которые тестировали методом серого ящика, специалисты также проанализировали методом чёрного ящика, поэтому в общей статистике были объединены результаты по этим двум подходам. В связи с этим, практически все проекты по анализу защищённости веб-приложений было выполнено методом серого и чёрного ящиков.

Для определения самых распространённых и критических уязвимостей аналитики «Лаборатории Касперского» провели анализ результатов проектов по анализу защищённости в приложении за последний 3-летний период.

В итоге, «Лаборатория Касперского» представила следующую десятку уязвимостей в приложениях:

  1. Недостатки контроля доступа.
  2. Раскрытие чувствительной информации.
  3. Подделка межсерверных запросов (SSRF).
  4. Внедрение операторов SQL.
  5. Межсайтовое выполнение сценариев (XSS).
  6. Недостатки аутентификации.
  7. Недостатки конфигурации.
  8. Недостаточная защита от перебора пароля.
  9. Слабый пароль пользователя.
  10. Использование компонентов с известными уязвимостями.

По словам аналитиков, представленный рейтинг выступает в качестве экспертного заключения, который базируется на том, как много веб-приложений содержит определённую уязвимость и насколько критично воздействие этой ошибки на приложение.

С полной версией отчёта «Лаборатории Касперского» можно ознакомиться по следующей ссылке.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: