Уязвимости и угрозы веб-приложений в 2020-2021 гг.
Изображение: Positive Technologies
По результатам исследования, проведенного Positive Technologies, кибератаки на веб-приложения – одни из наиболее распространенных методов атак. Около 17% от общего числа приходится на использование уязвимостей и недостатков защиты веб-приложений. Киберпреступники пользуются скомпрометированными сайтами в разных целях: распространение вредоносного софта, кража личной информации, несанкционированное внедрение информации, проникновение во внутреннюю инфраструктуру организации.
Согласно результатам исследования, в подавляющей части веб-приложений (98%) киберпреступники могут проводить кибератаки на пользователей. Такие атаки направлены на распространение вредоносного ПО, перенаправление на фишинговые ресурсы, на кражу данных с применением методик социальной инженерии.
Утечки конфиденциальной информации случались в 91% веб-приложений. В большинстве случаев происходило раскрытие пользовательских идентификаторов (84% случаев). 66% веб-приложений оказались подверженными раскрытию личной информации пользователей. Около 50% – утечкам учетных данных.
Возможность получения злоумышленниками несанкционированного доступа наблюдается в 84% веб-приложений. Получения полного контроля над веб-ресурсом злоумышленникам удаётся достигнуть в 5% случаев.
Самыми опасными уязвимостями веб-приложений являются ошибки авторизационных аутентификационных механизмов. Их эксплуатация позволяет злоумышленникам получать несанкционированный доступ к ценным данным и функционалу приложения.
Недостатки авторизации зачастую связаны с уязвимостями протокола oAuth. Ошибки реализации авторизации с использованием oAuth эксплуатируются киберпреступниками, чтобы перехватить сессионные и учетные пользовательские данные, для получения несанкционированного доступа к приложению.
Среднее число уязвимостей на одно веб-приложение снизилось на 30%, если сравнивать с показателями 2019 г. На один веб-ресурс в среднем приходится около 15 уязвимостей, из которых 2 являются серьёзными.
Из всех обнаруженных уязвимостей веб-приложений экспертами Positive Technologies, 15% были признаны высокорисковыми. При этом 72% ото всех уязвимостей связаны с недостатками в коде приложений.
Полная версия отчета Positive Technologies доступна здесь.
